1.3 Sleuth Kit Tool概述

本頁概述了 Sleuth Kit 的命令行工具。 Sleuth Kit Tool分為多個層，并且此頁面是根據這些層組織的。通常，以下工具將磁盤或文件系統映像作為輸入。

1.3.1 文件系統工具

全自動工具

這些工具集成了卷和文件系統功能。這些工具不僅可以分析單個文件系統，還可以將磁盤映像作為輸入識別卷并處理內容。

• tsk_comparedir：將本地目錄層次結構與原始設備（或磁盤映像）的內容進行比較。這可用于檢測rootkit。
• tsk_gettimes：從圖像中提取所有時間數據以構成timeline。等效于使用’-m’選項運行fls。
• tsk_loaddb：將圖像中的元數據加載到SQLite數據庫中。這使其他工具可以輕松地用各種語言編寫，并允許他們訪問圖像內容。
• tsk_recover：將未分配（或分配）的文件從磁盤映像提取到本地目錄。

文件系統層工具

這些文件系統工具處理常規文件系統數據，例如布局，分配結構和引導塊

• fsstat：顯示文件系統詳細信息和統計信息，包括布局，大小和標簽。

文件名層工具

這些文件系統工具處理文件名結構，這些文件名結構通常位于父目錄中。

• ffind：查找指向給定元數據結構的已分配和未分配文件名。
• fls：列出目錄中已分配和刪除的文件名。

元數據層工具

這些文件系統工具處理元數據結構，該元數據結構存儲有關文件的詳細信息。這種結構的示例包括FAT中的目錄項，NTFS中的MFT項以及ExtX和UFS中的inode。

• icat：提取文件的數據單元，該文件由其元數據地址（而不是文件名）指定。
• ifind：查找具有指向它的給定文件名的元數據結構，或者查找指向給定數據單元的元數據結構。
• ils：以豎線分隔的格式列出元數據結構及其內容。
• istat：以易于閱讀的格式顯示有關給定元數據結構的統計信息和詳細信息。

數據單元層工具

這些文件系統工具處理存儲文件內容的數據單元。該層的示例包括FAT和NTFS中的群集以及ExtX和UFS中的塊和片段。

• blkcat：提取給定數據單元的內容。
• blkls：列出有關數據單元的詳細信息，并可以提取文件系統的未分配空間。
• blkstat：以易于閱讀的格式顯示有關給定數據單元的統計信息。
• blkcalc：計算原始映像中未分配空間映像（來自blkls）中數據的位置。當在未分配的空間中找到證據時，將使用此方法。

文件系統日志工具

這些文件系統工具處理某些文件系統具有的日志。日志記錄所做的元數據（有時是內容）更新。這可以幫助恢復最近刪除的數據。帶有日志的文件系統的示例包括Ext3和NTFS。

• jcat：顯示特定日志塊的內容。
• jls：列出文件系統日志中的條目。

1.3.2 卷系統工具

這些工具將磁盤（或其他介質）映像作為輸入，并分析其分區結構。示例包括DOS分區，BSD磁盤標簽和Sun卷目錄（VTOC）。可使用這些文件在分區之間查找隱藏數據，并為The Sleuth Kit工具標識文件系統偏移量。介質管理工具支持DOS分區，BSD磁盤標簽，Sun VTOC和Mac分區。

• mmls：顯示磁盤的布局，包括未分配的空間。
• mmstat：顯示有關卷系統的詳細信息（通常僅顯示類型）。
• mmcat：將特定卷的內容提取到STDOUT。

1.3.3 圖像文件工具

該層包含用于圖像文件格式的工具。例如，如果圖像格式是分割圖像或壓縮圖像。

• img_stat：該工具將顯示圖像格式的詳細信息
• img_cat：此工具將顯示圖像文件的原始內容。

1.3.4 磁盤工具

這些工具可用于檢測和刪除ATA磁盤中的主機保護區（HPA）。HPA可用于隱藏數據，以便在采集過程中不會將其復制。這些工具當前僅適用于Linux。

• disk_sreset：如果存在HPA，該工具將暫時刪除它。重置磁盤后，HPA將返回。
• disk_stat：此工具將顯示HPA是否存在。

1.3.5 其他工具

• hfind：使用二進制排序算法在NIST NSRL，Hashkeeper和由md5sum創建的自定義hash數據庫中查找hash。
• mactime：從fls和ils工具獲取輸入以創建文件活動的時間表。
• sorter：根據文件類型對文件進行排序，并執行擴展名檢查和hash數據庫查找。
• sigfind：以給定的偏移量搜索二進制值。對于恢復丟失的數據結構很有用。