The Sleuth Kit: почувствуй себя Шерлоком Холмсом

The Sleuth Kit (TSK) представляет собой библиотеку и набор консольных программ, предназначенных для проведения анализа данных на произвольных файловых системах. Используя это ПО следователи могут идентифицировать и восстановить удаленные данные из образов, снятых во время расследования или с работающих систем. TSK является свободным программным обеспечением, поэтому специалисты могут проверить программы на предмет несанкционированных действий и расширить, при необходимости, функциональность.

TSK позволяет работать с дисками напрямую, либо с образами, снятыми при помощи программ вроде dd. Каждая программа из пакета является низкоуровневой и выполняет одну простую задачу. TSK основан на The Coroner's Toolkit и позволяет выполнять следующие операции:

• анализ сырых (Raw) файловых систем, систем Expert Witness (EnCase) и AFF;
• поддерживаются следующие файловые системы: NTFS, FAT, UFS 1, UFS 2, EXT2FS, EXT3FS и ISO 9660;
• работа на "живых" системах в ходе расследования инцидента с доступом даже к тем файлам, которые были скрыты при помощи т.н. руткитов (rootkits);
• вывод списка удаленных файлов;
• отображение всех подробностей, связанных с атрибутами NTFS (включая все альтернативные потоки);
• определение типа файловой системы и отображение ее структуры;
• составление графика активности пользователя;
• ils отображает список всех метаданных (например, таких как Inode);
• blkls отображает блоки с данными внутри файловых систем;
• fls выводит список существующих и удаленных файлов;
• fsstat выводит статистическую информацию об образе или носителе;
• ffind ищет имя файла для указанной области метаданных;
• disk_stat определяет существует ли т.н. Host Protected Area;
• и многое другое.

• К TSK имеется графический интерфейс — The Autopsy Forensic Browser.