tgoop.com/codeby_sec/9173
Create:
Last Update:
Last Update:
Sleuthkit
Sleuth Kit, также известный как TSK, представляет собой набор инструментов для судебного анализа файлов и томов на базе UNIX.
Инструменты файловой системы позволяют вам исследовать файловые системы подозрительного компьютера неинтрузивным способом.
Инструменты системы томов (управление носителями) позволяют вам проверять структуру дисков и других носителей. Вы также можете восстанавливать удаленные файлы, получать информацию, хранящуюся в свободных пространствах, проверять журнал файловых систем, просматривать структуру разделов на дисках или образах и т. д.
В настоящее время TSK поддерживает несколько файловых систем, таких как NTFS, FAT, exFAT, HFS+, Ext3, Ext4, UFS и YAFFS2.
📎Установка:
Инструмент уже есть в Kali Linux, но вы можете скачать исходный код отсюда:
https://gitlab.com/kalilinux/packages/sleuthkit.git
cd sleuthkit
📌Использование:
Создание образа диска:
Для тестирования утилиты нам нужен собственно образ диска, его можно получить следующей командой:
dd if=/dev/sdX of=[PATH_TO_IMAGE].dd bs=4M
Где, /dev/sdX - путь к диску, of=[PATH_TO_IMAGE] - путь куда сохранить файл.
Теперь запустим анализ образа:
fls -r -m / [PATH_TO_IMAGE].dd
Узнаём структуру разделов в образе диска:
mmls /home/kali/Desktop/out.dd