Sleuthkit z obsługą analizy ext4

18 czerwca 2013, 10:22 | Aktualności | komentarzy 5
: zin o bezpieczeństwie - pobierz w pdf/epub/mobi.

17 czerwca 2013r. ukazała się nowa wersja popularnego i darmowego narzędzia wspomagającego analizę powłamaniową – The Sleuth Kit™.

Wersja 4.1.0 przynosi przede wszystkim wsparcie dla analizy systemu plików ext4 (mimo popularności tego filesystemu do tej pory nie było jeszcze w pełni działającej darmowej biblioteki umożliwiającej analizę powłamaniową na ext4).

TSK w połączeniu z graficznym narzędziem autopsy umożliwia takie operacje jak:

  • Tworzenie timeline operacji na filesystemie (co / kiedy się działo na FS – zapisy / odczyty danych)
autopsy-sleuth-kit-make-timeline

Za http://info.basistech.com/blog/?Tag=sleuthkit.org

autopsy-sleuth-kit-timeline

Za http://info.basistech.com/blog/?Tag=sleuthkit.org

  • Odzyskiwanie skasowanych plików (metoda carvingu oraz analiza headerów / footerów)
  • Ekstrakcja informacji z przeglądarek internetowych (historia przeglądania, cookies, zakładki, …)
  • Wyszukiwanie pełnotekstowe na przedmiocie analizy
  • Wsparcie dla baz sygnatur plików binarnych (np. poprawnych binariów z systemu operacyjnego, ale też znanego malware)

    Autopsy - przykład

    Przykład działania autopsy, za sleuthkit.org

  • Dalej – mamy wsparcie dla większości popularnych filesystemów NTFS, FAT, UFS 1, UFS 2, EXT2FS, EXT3FS, EXT4FS, HFS, ISO 9660
  • Oraz działanie zarówno w systemach Linux jak i Windows.

Czego chcieć więcej? Chyba tylko na bieżąco uzupełnianej, dokładnej dokumentacji :-) Choć trzeba przyznać, że główny autor TSK napisał swego czasu świetną książkę – File System Forensic Analysis – w zasadzie jedyną tak głęboką w tym temacie.

Przy okazji zachęcamy do przeczytania naszych tekstów w tematach: symulowania badsectorów na dysku (w kontekście realizacji kopii posektorowych obrazu HDD) oraz odzyskiwania skasowanych plików.

–michal.sajdak<at>sekurak.pl

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. J

    Już jest wersja 4.1.0

    Odpowiedz
    • Oczywiście chodziło właśnie o 4.1.0 – dzięki za czujność.

      Odpowiedz
  2. soal

    Ostatni akapit:
    „Chyba chyba tylko” -> „Chyba tylko”

    Odpowiedz
  3. Ql – poprawione

    Odpowiedz
  4. yaslaw

    Program od kiedy został przepisany no nowo ciekawie się rozwija. Mnie brakuje jedynie wygodnej metody tagowania plików i filtrowania ich (tutaj wzorem dla mnie jest x-ways forensic)

    Odpowiedz

Odpowiedz na J