W3C SVG

The Sleuthkit

Publicēšanas datums: Oct 14, 2023
Tēmturi:

The Sleuth Kit (TSK) ir populāra atvērtā pirmkoda programmu bibliotēka un kolekcija ar komandrindas digitālās izmeklēšanas rīkiem. The Sleuth Kit ļauj izmeklētājiem un analītiķiem analizēt datu nesēju attēlus (disk image), kā arī pašus datu nesējus un veikt detalizētu failu sistēmu analīzi.

TSK ir mans galvenais rīks, ko izmantoju, veicot sākotnējo analīzi datu nesēju attēliem un datu nesējiem. Šajā ierakstā es parādīšu, kā izmantot TSK, lai ātri pārbaudītu datu nesēju attēlus vai datu nesējus. Konkrēti - kā:

Pārbaudīt partīcijas, pārlūkot failu sistēmas, atklāt dzēstos failus, filtrēt un eksportēt failus.

TSK strādā uz Windows, macOS un Linux operētājsistēmām. To var uzstādīt uz jebkuras Debian atvasinātās sistēmas, vienkārši izpildot komandu:

  
  apt install sleuthkit

USB zibatmiņas pārbaude ar TSK, soli pa solim:

  • Nepieciešams atslēgt automount kā aprakstīts šajā ierakstā, lai nodrošinātu datu integritāti;
  • Pievienot zibatmiņu un parādīt disku iekārtas;
  
  lsblk
  

sda                      8:0    1   961M  0 disk  
└─sda1                   8:1    1   960M  0 part

Pārbaudīt pievienotās zibatmiņas partīciju shēmu:

  
  mmls /dev/sda
  

DOS Partition Table
Offset Sector: 0
Units are in 512-byte sectors

      Slot      Start        End          Length       Description
000:  Meta      0000000000   0000000000   0000000001   Primary Table (#0)
001:  -------   0000000000   0000002047   0000002048   Unallocated
002:  000:000   0000002048   0001968127   0001966080   NTFS / exFAT (0x07)

2048 sektorā atrodas NTFS failu sistēma. Parādīt NTFS failu sistēmas saknes direktorijas saturu:

  
  fls -o 2048 /dev/sda

-o: offset (nobīde)

...
d/d 65-144-2:	polises_info
r/r 64-128-2:	polise_printet.pdf
-/r * 69-128-2:	lol.png
-/r * 75-128-2:	watermark.png
-/d * 76-144-2:	political_science
-/d * 87-144-2:	.Trash-1000
-/d * 88-144-2:	.Trash-1000
V/V 89:	$OrphanFiles
...

Izgūt dzēsto .png failu “lol.png”:

  
  icat -o 2048 /dev/sda 69 > lol.png

Parādīt dzēstās direktorijas “political_science” saturu:

  
  fls -o 2048 /dev/sda -r -p | grep political_science

-r: Rekursīvi parādīt direktoriju saturu
-p: Parādīt pilnu failu atrašanās vietu

Rekursīvi parādīt visu NTFS failu sistēmas saturu un rezultātus izvadīt failā:

  
  fls -o 2048 /dev/sda -r -p > MFT.csv

“fls” parametri, ko izmantoju visbiežāk, kopā ar -r un -p:

-d: Parādīt tikai dzēstos ierakstus;
-u: Parādīt tikai nedzēstos ierakstus;
-D: Parādīt tikai direktorijas;
-F: Parādīt tikai failus


The Sleuth Kit ir vērtīgs līdzeklis, lai ātri pārbaudītu aizdomīgus datu nesējus. Tā plašā rīku kolekcija ļauj analītiķiem ātri izpētīt failu sistēmas, atgūt pazudušos datus un veidot detalizētas laika līnijas.