Sleuthkit z obsługą analizy ext4

17 czerwca 2013r. ukazała się nowa wersja popularnego i darmowego narzędzia wspomagającego analizę powłamaniową – The Sleuth Kit™.

Wersja 4.1.0 przynosi przede wszystkim wsparcie dla analizy systemu plików ext4 (mimo popularności tego filesystemu do tej pory nie było jeszcze w pełni działającej darmowej biblioteki umożliwiającej analizę powłamaniową na ext4).

TSK w połączeniu z graficznym narzędziem autopsy umożliwia takie operacje jak:

• Tworzenie timeline operacji na filesystemie (co / kiedy się działo na FS – zapisy / odczyty danych)

Za http://info.basistech.com/blog/?Tag=sleuthkit.org

Za http://info.basistech.com/blog/?Tag=sleuthkit.org

• Odzyskiwanie skasowanych plików (metoda carvingu oraz analiza headerów / footerów)
• Ekstrakcja informacji z przeglądarek internetowych (historia przeglądania, cookies, zakładki, …)
• Wyszukiwanie pełnotekstowe na przedmiocie analizy
• Wsparcie dla baz sygnatur plików binarnych (np. poprawnych binariów z systemu operacyjnego, ale też znanego malware)
  

  Przykład działania autopsy, za sleuthkit.org

• Dalej – mamy wsparcie dla większości popularnych filesystemów NTFS, FAT, UFS 1, UFS 2, EXT2FS, EXT3FS, EXT4FS, HFS, ISO 9660
• Oraz działanie zarówno w systemach Linux jak i Windows.

Czego chcieć więcej? Chyba tylko na bieżąco uzupełnianej, dokładnej dokumentacji :-) Choć trzeba przyznać, że główny autor TSK napisał swego czasu świetną książkę – File System Forensic Analysis – w zasadzie jedyną tak głęboką w tym temacie.

–michal.sajdak<at>sekurak.pl