The Sleuth Kit: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
(Der Seiteninhalt wurde durch einen anderen Text ersetzt: „*The Sleuth Kit Grundlagen“)
Markierung: Ersetzt
Zeile 1: Zeile 1:
=Grundsätzliches=
+
*[[The Sleuth Kit Grundlagen]]
*The Sleuth Kit ist eine forensische Software-Sammlung für die Kommandozeile von informationstechnischen Systemen.
 
*Mit Hilfe dieser ist es möglich verschiedenste Informationen über ein Computersystem oder ein Speicherabbild zu erhalten.
 
*Eine manuell durchgeführte Analyse oder Teilanalyse von Daten bringt meist genaue Informationen über die Verwendung der Systeme und der darauf enthaltenen Informationen.
 
*Es ist möglich einzelne Untersuchungsschritte miteinander in Skripten zu automatisieren.
 
*Dadurch ist eine gezielte und beschleunigte Verwendung zur Untersuchung möglich.
 
*Diese Funktionalität wird auch in der grafischen Benutzeroberfläche, dem sogenannten Autopsy Forensic Browser verwendet.
 
*Sleuth Kit unterstützt dabei folgende Dateisysteme: NTFS, FAT, UFS 1, UFS 2, Ext2, Ext3, Ext4, HFS, YAFFS2 und ISO 9660.
 
== Die einzelnen Werkzeuge ==
 
 
 
In der Sammlung Sleuth Kit sind eine Vielzahl an thematisch unterschiedlichen Einzelprogrammen enthalten.
 
 
 
=== Dateisystem Ebene ===
 
 
 
* ''fsstat'' zeigt Details zum untersuchten Dateisystem an. Dazu zählen Größenangaben, Layout und Bezeichnungen.
 
 
 
=== Dateinamen Ebene ===
 
 
 
* ''ffind'' untersucht die Dateistrukturen und findet allozierte und un-allozierte Dateinamen, welche auf Metadatenstrukturen verweisen.
 
* ''fls'' listet allozierte und gelöschte Dateien innerhalb eines gegebenen Verzeichnisses auf.
 
 
 
=== Metadaten Ebene ===
 
 
 
* ''icat'' ermöglicht Dateneinheiten einer Datei anhand ihrer Metadatenadressen zu extrahieren.
 
* ''ifind'' findet zu einem gegebenen Dateinamen die entsprechenden Metadaten oder die Metadaten die zu einer bestimmten Dateneinheit verweisen.
 
* ''ils'' listet die Metadatenstrukturen und deren Inhalt auf.
 
* ''istat'' listet Statistiken und Details zu einer gegebenen Metadatenstruktur auf.
 
 
 
=== Dateneinheit Ebene ===
 
 
 
* ''blkcat'' extrahiert den Inhalt einer bestimmten Dateneinheit.
 
* ''blkls'' kann Details zu Dateneinheiten auflisten und den un-allozierten Speicherplatz eines Dateisystems extrahieren.
 
* ''blkstat'' zeigt Statistiken zu einer gegebenen Dateneinheit an.
 
* ''blkcalc'' berechnet den Ort an dem Daten am Originaldatenträger zu finden sind, die am Image im un-allozierten Speicherbereich gefunden wurden.
 
 
 
=== Dateisystemjournal Ebene ===
 
 
 
* ''jcat'' zeigt den Inhalt eines gegebenen Journal-Blocks an.
 
* ''jls'' listet die Einträge im Dateisystemjournal auf.
 
* ''mmls'' zeigt das Layout eines Dateisystems an. Es listet dabei auch nicht allokierte Speicherbereiche auf und macht Angaben über die Typen, Positionen und Größen der Partitionen.
 
 
 
=== Speicherabbild ===
 
 
 
* ''img_stat'' zeigt Details über das Dateisystem-Image an.
 
* ''img_cat'' zeigt die Rohdaten des Dateisystem-Images an.
 
 
 
=== Sonstiges ===
 
 
 
* ''mactime'' erstellt eine Zeitlinie aus den Ausgaben von ''ils'' und ''fls''.
 
* ''sorter'' sortiert Dateien anhand ihrer Dateitypen und überprüft ihre Dateierweiterung und führt Hashdatenbankvergleiche durch.
 
* ''sigfind'' sucht Binärwerte in einer Dateistruktur.
 
 
 
 
 
=Quelle=
 
*https://de.wikipedia.org/wiki/The_Sleuth_Kit
 

Version vom 20. Mai 2025, 18:40 Uhr

Abgerufen von „http://wiki.ixheim.de/index.php?title=The_Sleuth_Kit&oldid=63195