O kit de sleuth Ferramentas de análise de arquivos de linha de comando e ferramentas de análise forense
Baixe Agora

O kit de sleuth Classificação e resumo

O kit de sleuth Tag

examinar analisar extrair Examine o sistema de arquivos extrato particionar. Analise o sistema de arquivos

O kit de sleuth Descrição

Ferramentas de arquivo de linha de comando de código livre e aberto e ferramentas de análise forense do sistema de volume O kit de sleuth (previamente conhecido como tarefa) é uma coleção de ferramentas de arquivos de linha de linha de comando baseada em UNIX e ferramentas de análise forense do sistema de volume. As ferramentas do sistema de arquivos permitem examinar os sistemas de arquivos de um computador suspeito de maneira não intrusiva. Como as ferramentas não dependem do sistema operacional para processar os sistemas de arquivos, o conteúdo excluído e oculto são mostrados. As ferramentas do sistema de volume (gerenciamento de mídia) permitem examinar o layout de discos e outras mídias. O kit de sleuth suporta partições dos DOS, partições BSD (rótulos de disco), divisórias de Mac, fatias de sol (tabela de volume) e Discos GPT. Com essas ferramentas, você pode identificar onde as partições estão localizadas e extraídas para que elas possam ser analisadas com ferramentas de análise do sistema de arquivos. Quando executando uma análise completa de um sistema, todos nós sabemos que as ferramentas de linha de comando podem se tornar tediosas. O AutoPSY Forensic Browser é uma interface gráfica para as ferramentas no kit de sleuth, que permite que você conduza mais facilmente uma investigação. Autópsia fornece gerenciamento de casos, integridade de imagem, pesquisa de palavras-chave e outras operações automatizadas. As ferramentas são executadas no Mac OS X, FreeBSD, OpenBSD, Linux e Solaris e podem analisar a gordura, NTFS, UFS, ext2fs e ext3fs.note: o sleuth O kit é liberado sob as licenças públicas comuns públicas e IBM. Aqui estão algumas características principais de "The Sleuth Kit": · Análises RAW (i.e. dd), testemunha especializada (isto é, encaminhar) e sistemas de arquivos AFF e imagens de disco. (Wituth Kit Informer # 11) · Suporta os sistemas de arquivos NTFS, FAT, FAT, FAT 1, UFS 2, EXT2F, EXX3FS e ISO 9660 (mesmo quando o sistema operacional do host não possui ou possui uma ordem de endiana diferente). · As ferramentas podem ser executadas em um sistema UNIX ao vivo durante a resposta incidente. Essas ferramentas mostrarão arquivos que foram "ocultos" por rootkits e não modificarão o tempo de arquivos que são visualizados. (Sleuth Kit Informer # 13) · Lista alocada e excluída ASCII e nomes de arquivos Unicode. (Sleuth Kit Informer # 14 (recuperação de gordura), # 16 (arquivos órfãos NTFS))) · Exibir os detalhes e conteúdos de todos os atributos NTFS (incluindo todos os fluxos de dados alternativos). · Display Sistema de Arquivos e Detalhes da Estrutura Meta-Data. · Criar linhas de tempo de atividade de arquivo, que podem ser importadas para uma folha de distribuição para criar gráficos e relatórios. (Wituth Kit Informer # 5) · Hashes de arquivos de pesquisa em um banco de dados HASH, como o NIST NSRL, Keeper Hash e bancos de dados personalizados que foram criados com a ferramenta 'MD5Sum'. (Sleuth Kit Informer # 6, Kit de Sleuth Informer # 7) · Organizar arquivos com base em seu tipo (por exemplo, todos os executáveis, JPEGs e documentos são separados). Páginas de miniaturas podem ser feitas de imagens gráficas para análise rápida. (Wituth Kit Informer # 3, # 4, # 5) O que há de novo nesta versão: · Correção de bug: Bug de travamento fixo no iFind no sistema de arquivos de gordura. BUG: 2265927. · Correção de bugs: Bug de travamento fixo em ISTAT no EXXX $ Orphanfiles Dir. Bug: 2266104. · Atualizar: Página inicial atualizada do FLS. · Atualizar: Removido o arquivo TODO e usando rastreador para bugs e solicitações de recurso. · Correção de bug: Corrigido incorretamente configurar o status do bloco no arquivo_walk para arquivos compactados (Bug: 2475246) · Correção de bugs: campo fs_info removido de fs_meta porque não estava sendo definido e deveria ter sido removido em 3.0. Relatado por Rob Joyce e Judson Powers. · Correção de bug: Arquivos Orphan e arquivos NTFS encontrados via diretório pai têm um tipo de nome de arquivo desconhecido (em vez de ser igual ao tipo META). (Bug: 2389901). Relatado por Barry Grundy. · Correção de bug: Bug ISO9660 fixo onde o conteúdo de diretório grande não foi exibido. (Bug: 2503552). Relatado por Tom Black. · Correção de bug: Bug fixo 2534449 Onde os arquivos NTFS extras foram mostrados se o endereço MFT foi alterado para 0 porque fs_dir_add estava verificando o endereço e o nome. Relatado por Andy Bontoft. · Atualizar: correção fixa para bug 2534449. A correção está no iFind em vez de fs_dir_add (). · Atualizar: Adicionado arquivo de especificação RPM de Morgan Weetmam.

O kit de sleuth Software Relacionado