Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Sleuthkit z obsługą analizy ext4
17 czerwca 2013r. ukazała się nowa wersja popularnego i darmowego narzędzia wspomagającego analizę powłamaniową – The Sleuth Kit™.
Wersja 4.1.0 przynosi przede wszystkim wsparcie dla analizy systemu plików ext4 (mimo popularności tego filesystemu do tej pory nie było jeszcze w pełni działającej darmowej biblioteki umożliwiającej analizę powłamaniową na ext4).
TSK w połączeniu z graficznym narzędziem autopsy umożliwia takie operacje jak:
- Tworzenie timeline operacji na filesystemie (co / kiedy się działo na FS – zapisy / odczyty danych)
- Odzyskiwanie skasowanych plików (metoda carvingu oraz analiza headerów / footerów)
- Ekstrakcja informacji z przeglądarek internetowych (historia przeglądania, cookies, zakładki, …)
- Wyszukiwanie pełnotekstowe na przedmiocie analizy
- Wsparcie dla baz sygnatur plików binarnych (np. poprawnych binariów z systemu operacyjnego, ale też znanego malware)
- Dalej – mamy wsparcie dla większości popularnych filesystemów NTFS, FAT, UFS 1, UFS 2, EXT2FS, EXT3FS, EXT4FS, HFS, ISO 9660
- Oraz działanie zarówno w systemach Linux jak i Windows.
Czego chcieć więcej? Chyba tylko na bieżąco uzupełnianej, dokładnej dokumentacji :-) Choć trzeba przyznać, że główny autor TSK napisał swego czasu świetną książkę – File System Forensic Analysis – w zasadzie jedyną tak głęboką w tym temacie.
–michal.sajdak<at>sekurak.pl
Już jest wersja 4.1.0
Oczywiście chodziło właśnie o 4.1.0 – dzięki za czujność.
Ostatni akapit:
„Chyba chyba tylko” -> „Chyba tylko”
Ql – poprawione
Program od kiedy został przepisany no nowo ciekawie się rozwija. Mnie brakuje jedynie wygodnej metody tagowania plików i filtrowania ich (tutaj wzorem dla mnie jest x-ways forensic)