Note utilisateur: 5 / 5

Etoiles activesEtoiles activesEtoiles activesEtoiles activesEtoiles actives
 

 

SleuthKit pour analyser les images disque et extraire les fichiers


Le kit Sleuth est une boîte à outils d'investigation forensic open source permettant d'analyser les systèmes de fichiers et les disques Microsoft et UNIX. Le kit Sleuth permet aux enquêteurs d’identifier et de récupérer des preuves à partir d’images acquises lors de la réponse à un incident ou de systèmes en direct. Le kit Sleuth est un logiciel libre qui permet aux enquêteurs de vérifier les actions de l’outil ou de le personnaliser selon les besoins.

 

 

  

Une question? Posez-la ici

Aide pentest d'applications

Le kit Sleuth est une boîte à outils d'investigation forensic open source permettant d'analyser les systèmes de fichiers et les disques Microsoft et UNIX. Le kit Sleuth permet aux enquêteurs d’identifier et de récupérer des preuves à partir d’images acquises lors de la réponse à un incident ou de systèmes en direct. Le kit Sleuth est un logiciel libre qui permet aux enquêteurs de vérifier les actions de l’outil ou de le personnaliser selon les besoins.

Le kit Sleuth utilise le code des outils d’analyse de système de fichiers de The Coroner’s Toolkit (TCT) de Wietse Venema et Dan Farmer. Le code TCT a été modifié pour l'indépendance de la plate-forme. De plus, un support a été ajouté pour les systèmes de fichiers NTFS (voir docs / ntfs.README) et FAT (voir docs / fat.README). Auparavant, le Sleuth Kit s'appelait The @stake Sleuth Kit (TASK). Le Sleuth Kit est maintenant indépendant de toute organisation commerciale ou académique.

Il est recommandé d’utiliser ces outils de ligne de commande avec le navigateur Autopsy Forensic. Autopsy (http://www.sleuthkit.org/autopsy) est une interface graphique des outils de The Sleuth Kit. Elle automatise de nombreuses procédures et fournit des fonctionnalités telles que la recherche d'images et le contrôle de l'intégrité des images MD5.

Comme pour tout outil d’investigation, tous les résultats trouvés avec The Sleuth Kit doivent être recréés avec un deuxième outil pour vérifier les données.


Le Sleuth Kit permet d’analyser une image de disque ou de système de fichiers créée par ’dd’, ou une application similaire créant une image brute. Ces outils sont de bas niveau et chacun effectue une tâche unique. Lorsqu'ils sont utilisés ensemble, ils peuvent effectuer une analyse complète. Pour une description plus détaillée de ces outils, reportez-vous à la section docs / filesystem.README. Les outils sont brièvement décrits dans une approche en couches du système de fichiers. Chaque nom d'outil commence par une lettre affectée à la couche.

 

 

 

Une question? Posez-la ici

Aide pentest d'applications

File System Layer:

Un disque contient une ou plusieurs partitions (ou tranches). Chacune de ces partitions contient un système de fichiers. Les exemples de systèmes de fichiers incluent les systèmes FFS (Berkeley Fast File System), le système EXT2FS (Extended 2 File System), la table FAT (File Allocation Table) et le système NTFS (Microsoft Windowsd NT File System).

L'outil fsstat affiche les détails du système de fichiers au format ASCII. Les exemples de données dans cet affichage incluent le nom du volume, la dernière date de montage et les détails de chaque "groupe" dans les systèmes de fichiers UNIX.


Content Layer (block):

La couche de contenu d'un système de fichiers contient le contenu réel du fichier, ou des données. Les données sont stockées dans de gros morceaux, avec des noms tels que des blocs, des fragments et des clusters. Tous les outils de cette couche commencent par les lettres ’blk’.

L’outil blkcat peut être utilisé pour afficher le contenu d’une unité spécifique du système de fichiers (comme ce que ’dd’ peut faire avec quelques arguments). La taille de l'unité dépend du système de fichiers. L’outil "blkls" affiche le contenu de toutes les unités non allouées d’un système de fichiers, produisant un flux d’octets de contenu supprimé. La sortie peut être recherchée pour le contenu du fichier supprimé. Le programme ’blkcalc’ permet d’identifier la position de l’unité dans l’image originale d’une unité dans l’image générée en 'blkls'.

Une nouvelle fonctionnalité du Sleuth Kit de TCT est l’argument "-l" de "blkls" (ou "unrm" dans TCT). Cet argument répertorie les détails des unités de données, similaires à la commande ’ils’. L’outil «blkstat» affiche les statistiques d’une unité de données spécifique (y compris le statut d’attribution et le numéro de groupe).

Metadata Layer (inode):

La couche de métadonnées décrit un fichier ou un répertoire. Cette couche contient des données descriptives telles que les dates et la taille, ainsi que les adresses des unités de données. Cette couche décrit le fichier dans des termes pouvant être traités efficacement par l'ordinateur. Les structures dans lesquelles les données sont stockées ont des noms tels que inode et entrée de répertoire. Tous les outils de cette couche commencent par un «i».

Le programme «ils» répertorie certaines valeurs des structures de métadonnées. Par défaut, il ne listera que les non alloués. L’istat affiche les informations de métadonnées dans un format ASCII sur une structure spécifique. La nouveauté du kit Sleuth est que istat affiche la destination des liens symboliques. La fonction "icat" affiche le contenu des unités de données allouées à la structure de métadonnées (similaire à la commande UNIX cat (1)). L’outil ‘ifind’ identifiera quelle structure de métadonnées a attribué une unité de contenu ou un nom de fichier donné.

Reportez-vous à la documentation ntfs.README pour plus d'informations sur l'adressage d'attributs de métadonnées dans NTFS.

Human Interface Layer (file):

La couche d'interface humaine permet d'interagir avec les fichiers d'une manière plus pratique que directement avec la couche de métadonnées. Dans certains systèmes d'exploitation, il existe des structures distinctes pour les couches de métadonnées et d'interface humaine, tandis que d'autres les combinent. Tous les outils de cette couche commencent par la lettre ’f’.

Le programme ’fls’ répertorie les noms de fichiers et de répertoires. Cet outil affichera également les noms des fichiers supprimés. Le programme ’ffind’ identifiera le nom du fichier qui a alloué une structure de métadonnées donnée. Avec certains systèmes de fichiers, les fichiers supprimés seront identifiés.

Time Line Generation

Les lignes de temps sont utiles pour obtenir rapidement une image de l'activité du fichier. En utilisant The Sleuth Kit, vous pouvez facilement créer une ligne de temps du fichier. Le programme mactime (TCT) prend en entrée le fichier `body’ généré par fls et ses. Pour obtenir des données sur les noms de fichier alloués et non alloués, utilisez la commande "fls -rm dir" et pour les inodes non alloués, utilisez "ils -m". Notez que le comportement de ces outils est différent de celui de TCT. Pour plus d'informations, reportez-vous à la section docs / mac.README.

Hash Databases

Les bases de données de hachage sont utilisées pour identifier rapidement si un fichier est connu. Le hachage MD5 ou SHA-1 d'un fichier est pris et une base de données est utilisée pour identifier s'il a déjà été vu. Cela permet l'identification même si un fichier a été renommé.

Le kit Sleuth comprend les outils ’md5’ et ’sha1’ pour générer des hachages de fichiers et d’autres données.

L’outil ‘hfind’ est également inclus. L’outil ’hfind’ permet de créer un index d’une base de données de hachage et d’effectuer des recherches rapides à l’aide d’un algorithme de recherche binaire. L’outil ’hfind’ permet d’effectuer des recherches dans la bibliothèque nationale de logiciels (NRL) du NIST (www.nsrl.nist.gov) et dans les fichiers créés à partir de la commande ’md5’ ou ’md5sum’. Reportez-vous au fichier docs / hfind.README pour plus de détails.

 

 

  

Une question? Posez-la ici

Aide pentest d'applications

 

Types de fichiers

Différents types de fichiers ont généralement une structure interne différente. La commande ’file’ est fournie avec la plupart des versions d’UNIX et une copie est également distribuée avec The Sleuth Kit. Ceci est utilisé pour identifier le type de fichier ou d'autres données indépendamment de son nom et de son extension. Il peut même être utilisé sur une unité de données donnée pour aider à identifier le fichier utilisé par cette unité pour le stockage. Notez que la commande ’file’ utilise généralement des données dans les premiers octets d’un fichier et qu’il est donc possible qu’elle ne puisse pas identifier un type de fichier basé sur les blocs intermédiaires ou les clusters.

Le programme «trieur» de The Sleuth Kit utilisera d’autres outils du Sleuth Kit pour trier les fichiers d’une image de système de fichiers en catégories. Les catégories sont basées sur les jeux de règles dans les fichiers de configuration. L’outil de «trieur» utilisera également des bases de données de hachage pour signaler les mauvais fichiers connus et ignorer les bons fichiers connus. Reportez-vous au fichier ’docs / sorter.README’ pour plus de détails.


Licence

Les outils de système de fichiers (dans le répertoire src / fstools) sont publiés sous la licence open source IBM et la licence publique commune, tous deux situés dans le répertoire de licence. Les modifications apportées à «mactime» par rapport à l’original «mactime» dans TCT et à «mac-daddy» sont publiées sous la licence publique commune. Les autres outils du répertoire src sont soit la licence publique commune, soit la licence publique GNU.

Installation

Releases · sleuthkit/sleuthkit · GitHub

https://github.com/sleuthkit/sleuthkit/releases

Traduire cette page

The Sleuth Kit® (TSK) is a library and collection of command line digital ... sleuthkit-4.6.4.tar.gz.asc 228 Bytes · sleuthkit-java_4.6.4-1_amd64.deb 5.8 MB ...

The Sleuth Kit: Download

https://www.sleuthkit.org/sleuthkit/download.php

Traduire cette page

The Sleuth Kit is a C library and collection of open source command line tools for the forensic analysis of NTFS, FAT, EXT2FS, and FFS file systems.

The Sleuth Kit Framework: A Plug-in Digital Forensics Framework

Traduire cette page

Developers can get the source code from the github site or the tar.gz file on the download page. Refer to the INSTALL docs about specific requirements and ...

Sleuth Kit – Autopsy – Parce que c'est trop fast0ch' - Les Tutos de Nico

19 mars 2010 - Sleuth Kit : #tar -zxvf sleuthkit-3.1.0.tar.gz #cd sleuthkit-3.1.0 #./configure #make #make install. Autopsy : #tar -zxvf autopsy-2.23.tar.gz

sleuthkit: README.md | Fossies

https://fossies.org/linux/sleuthkit/README.md

Traduire cette page

... (9 Nov 2018, 8316 Bytes) of package /linux/privat/sleuthkit-4.6.4.tar.gz: ... The Sleuth Kit is an open source forensic toolkit for analyzing Microsoft and UNIX file ...

The Sleuth Kit 4.6.4

@bcarrier bcarrier released this on 10 Nov 2018 · 88 commits to develop since this release

Assets

7

sleuthkit-4.6.4-win32.zip

15.8 MB

sleuthkit-4.6.4-win32.zip.asc

228 Bytes

sleuthkit-4.6.4.tar.gz

8.25 MB

sleuthkit-4.6.4.tar.gz.asc

228 Bytes

sleuthkit-java_4.6.4-1_amd64.deb

5.8 MB

Source code

(zip)

Source code

(tar.gz)

This release has no changes to the command line tools or C/C++ libraries. It is being done only to support the Autopsy 4.9.1 release.

Java Code:

Increase max statements in database to prevent errors under load

Have a max timeout for SQLite retries

 

 

Renseigner le résultat dans le champ ci-dessous (Pour concaténation et rapport à la fin)

Analyser, se poser des questions sur le résultat. Noter aussi les remarques sur le résultats s'il semble étrange

et passer à la phase suivante