1.1 Sleuth Kit 描述

Sleuth Kit是命令行工具和C庫的集合，可讓您分析磁盤映像并從中恢復文件。它在Autopsy以及許多其他開放源代碼和商業取證工具中被后臺使用。

Sleuth Kit是用于分析Microsoft和UNIX文件系統和磁盤的開源取證工具包。Sleuth Kit使研究人員能夠從事件響應過程中或實時系統中獲取的圖像中識別并恢復證據。Sleuth Kit是開源的，它使研究人員可以驗證工具的操作或根據特定需要對其進行自定義。

Sleuth Kit使用的代碼來自Wietse Venema和Dan Farmer的TCT的文件系統分析工具。修改了TCT代碼以實現平臺獨立性。另外，添加了對NTFS(請參閱wiki / ntfs）和FAT（請參閱wiki / fat）文件系統的支持。以前，Sleuth Kit被稱為 stake Sleuth Kit（TASK）。Sleuth Kit現在獨立于任何商業或學術組織。

建議將這些命令行工具與Autopsy取證瀏覽器一起使用。Autopsy是Sleuth Kit工具的圖形界面，可自動執行許多步驟，并提供諸如圖像搜索和MD5圖像完整性檢查之類的功能。

與任何調查工具一樣，應該使用第二個工具重新創建在Sleuth Kit中找到的所有結果，以驗證數據。