<menu id="guoca"></menu>
<nav id="guoca"></nav><xmp id="guoca">
  • <xmp id="guoca">
  • <nav id="guoca"><code id="guoca"></code></nav>
  • <nav id="guoca"><code id="guoca"></code></nav>
    Sleuth Kit中文使用教程
    展開或關閉
    Sleuth Kit 基礎入門
    1.1 Sleuth Kit 描述 1.2 Sleuth Kit 總覽 1.3 Sleuth Kit Tool概述 1.4 Sleuth Kit下載安裝 1.5 使用 Sleuth Kit 或Autopsy的工具 1.6 Sleuth Kit 歷史
    Sleuth Kit Library 用戶指南
    2.1 Sleuth Kit Library 總覽 2.2 Sleuth Kit Library 用戶手冊
    Sleuth Kit Framework 用戶指南
    3.1 Sleuth Kit Framework 總覽 3.2 Sleuth Kit Framework 概述 3.3 Sleuth Kit Framework開發人員開發模塊指南 3.4 Sleuth Kit Framework 開發人員使用框架指南
    Sleuth Kit實施說明
    FAT實施說明 NTFS實施說明
    參考文件
    FS分析 時間線
    Sleuth Kit 工具詳解
    Sleuth Kit Tool 詳細介紹
    API參考
    C Base TSK Library Functions C++ Base TSK Library Classes C Disk Image Functions C++ Disk Image Classes C Volume System Functions TSK_STACK結構參考 C++ Volume System Classes C File System Functions TSK_LIST結構參考

    1.2 Sleuth Kit 總覽

    Sleuth Kit中文使用教程 /

    Sleuth Kit允許用戶分析“dd”創建的磁盤或文件系統映像或創建原始映像的類似應用程序。這些工具都是低級的,并且每個工具執行單個任務。一起使用時,它們可以執行完整的分析。有關這些工具的詳細說明,請參閱第3節Sleuth Kit工具詳解。在文件系統分層方法中簡要介紹了這些工具。每個工具名稱都以指定給圖層的字母開頭。

    文件系統層:

    磁盤包含一個或多個分區(或片)。這些分區中的每個分區都包含一個文件系統。文件系統的示例包括 Berkeley Fast File System(FFS),Extended 2 File System(EXT2FS), File Allocation Table (FAT), 和 New Technologies File System (NTFS)。

    fsstat tool 以ASCII格式顯示文件系統詳細信息。此顯示中的數據示例包括卷名,上次安裝時間以及UNIX文件系統中每個“組”的詳細信息。

    內容層(塊):

    文件系統的內容層包含實際的文件內容或數據。數據以塊,片段和簇之類的名稱存儲在大塊中。該層中的所有工具均以字母“ blk”開頭。

    blkcat工具可用于顯示文件系統特定單元的內容(類似于“ dd ”可以對一些參數的處理)。單位大小取決于文件系統。“ blkls”工具顯示文件系統所有未分配單元的內容,從而導致刪除內容的字節流。可以在輸出中搜索已刪除的文件內容。“ blkcalc”程序允許您在“ blkls”生成的圖像中標識單元原始圖像中的單元位置。

    TCT的 Sleuth Kit 的新功能是’blkls’的’-l’參數(在TCT中為’unrm’)。該參數列出了數據單元的詳細信息,類似于“ ils ”命令。“ blkstat ”工具顯示特定數據單元的統計信息(包括分配狀態和組號)。

    元數據層(inode):

    元數據層描述文件或目錄。該層包含描述性數據,例如日期和大小以及數據單元的地址。該層以計算機可以有效處理的方式描述文件。數據存儲的結構具有諸如inode和目錄條目之類的名稱。該層中的所有工具均以“ i”開頭。

    “ ils ”程序列出了元數據結構的一些值。默認情況下,它將僅列出未分配的列表。“ istat”以ASCII格式顯示有關特定結構的元數據信息。Sleuth Kit的新功能是’istat’將顯示符號鏈接的目的地。“ icat ”功能顯示分配給元數據結構的數據單元的內容(類似于UNIX cat(1)命令)。“ ifind”工具將識別哪個元數據結構已分配給定的內容單元或文件名。

    有關在NTFS中處理元數據屬性的信息,請參考ntfs Wiki

    人機界面層(file):

    人機界面層允許人們以一種比直接與元數據層更方便的方式與文件交互。在某些操作系統中,元數據和人機界面層有單獨的結構,而另一些則將它們組合在一起。該層中的所有工具均以字母“ f”開頭。

    “ fls ”程序列出文件和目錄名稱。該工具還將顯示已刪除文件的名稱。“ffind”程序將識別已分配給定元數據結構的文件的名稱。對于某些文件系統,將標識已刪除的文件。

    Time Line Generation

    Time Line Generation對于快速了解文件活動非常有用。使用Sleuth Kit,可以輕松制作文件MAC時間的Time Line Generation。mactime(TCT)程序將由fls和ils生成的“ body ”文件作為輸入。要獲取有關已分配和未分配文件名的數據,請使用’fls -rm dir’;對于未分配的inode則使用’ils -m’。請注意,這些工具的行為與TCT中的行為不同。

    Hash Databases

    Hash Databases用于快速識別文件是否已知。將使用文件的MD5或SHA-1哈希,并使用數據庫來識別以前是否曾看到過它。即使文件已重命名,這也允許進行標識。

    Sleuth Kit包含“ md5”和“ sha1”工具,用于生成文件和其他數據的hash。

    還包括“ hfind ”工具。“ hfind ”工具允許創建hash Databases的索引,并使用二進制搜索算法執行快速查找。“ hfind ”工具可以在NIST國家軟件參考庫(NSRL)上執行查找,并可以從“ md5”或“ md5sum”命令創建文件。有關更多詳細信息,請參閱 hfind文件。

    文件類型類別

    不同類型的文件通常具有不同的內部結構。UNIX的大多數版本都附帶有“file”命令,The Sleuth Kit也分發了一個副本。這用于識別文件或其他數據的類型,而不管其名稱和擴展名如何。它甚至可以用在給定的數據單元上,以幫助識別哪個文件使用了該單元進行存儲。請注意,“file”命令通常使用文件頭字節中的數據,因此它可能無法基于中間塊或群集來識別文件類型。

    Sleuth Kit中的“ sorter ”程序將使用其他Sleuth Kit工具將文件系統映像中的文件分類。類別基于配置文件中的規則集。“sorter”工具還將使用哈希數據庫來標記已知的不良文件,并忽略已知的不良文件。 有關更多詳細信息,請參考sorter文件。

    本文章首發在 網安wangan.com 網站上。

    上一篇 下一篇
    Ann
    資深作者 202 聲望
    暫無個人描述~
    討論數量: 0
    只看當前版本


    暫無話題~
    ? 2021 WANGAN.COM 幫助網安從業者成長;關注產業發展,做網絡安全忠誠衛士!
    亚洲 欧美 自拍 唯美 另类