1.6 Sleuth Kit 歷史

此頁面包含對每個Sleuth Kit?版本（從3.0.0版本開始）所做的更改的說明。

較新版本

使用Github頁面來確定每個版本中的更改。

舊版本

4.8.0（2020年1月24日）

C / C ++

• 添加池層以支持APFS。注意：API可能會更改。
• libtsk和某些命令行工具中添加了對APFS的有限支持。
  • 加密支持不完整。
  • Blackbag Technologies提交了初始PR。基礎技術做了一些小的重構。
• 邏輯成像儀的重構和次要修復
• Google模糊測試和Afarsec的Jonathan B修復了各種錯誤
• 修復了循環屬性列表中的無限NTFS循環。由X報告。
• github上uckelman-sf的文件系統錯誤修復

數據庫：

• DB schema已更新為support pools
• 在Blackboard Attributes中添加了JSON的概念
• Schema支持級聯刪除以啟用數據源刪除

Java：

• 添加了Pool類和關聯的基礎架構
• 添加了支持從數據庫刪除數據源的方法
• 通過重構最近引入的時間軸過濾類，刪除了JavaFX作為依賴項。
• 在blackboard helper package中增加了附件支持。

4.7.0（2019年10月14日）

C / C ++：

• 數據庫架構已擴展為存儲tsk_events和相關表。創建文件和工件時，會自動添加基于時間的數據。由Autopsy timeline使用。
• Logical Imager可以將文件另存為單個文件，而不是保存為VHD（節省空間）。
• 刪除了導致簽名/未簽名打印出現問題的Removed PRIuOFF and other macros。例如，TSK_OFF_T是一個帶符號的值，而PRIuOFF會產生問題，因為它將負數打印為大正數。

Java:

• Travis和Debian軟件包使用OpenJDK代替OracleJDK
• 新的Blackboard Helper程序包（blackboardutils）使制作工件更加容易。
• Blackboard 的范圍得到了擴展，包括新的postArtifact（）方法，該方法將事件數據添加到數據庫并向偵聽器廣播事件。
• SleuthkitCase現在具有一個EventBus，用于處理與數據庫相關的事件。
• 新的TimelineManager和關聯的過濾器類以支持新的事件表

4.6.7（2019年8月2日）

C / C ++Code：

• 首次發布新的邏輯成像儀工具
• VHD圖像編寫器修復了空間不足的情況

Java：

• 展開Communications Manager API
• SleuthkitCase.addLocalFile（）的性能改進

4.6.6（2019年4月26日）

C / C ++代碼：

• 在數據庫中為E01文件設置采集細節
• 修復NTFS減壓問題（來自Joe Sylve）
• 緩存失敗時的圖像讀取修復（Joe Sylve）
• 修復大型目錄文件的HFS +問題（Joe Sylve）
• 修復srch_strings（Derrick Karpo）中的可用內存問題

Java：

• 修復，以便本地文件可以是相對的
• Web數據的更多Blackboard工件和屬性
• 向CaseDbManager添加了方法，以啟用檢查和修改表的功能。
• 獲取和設置獲取詳細信息的API
• 添加了將卷和文件系統添加到數據庫的方法
• 添加了為分配的文件添加LayoutFile的方法
• 更改了JNI句柄的處理方式，以更好地支持多種情況

4.6.5（2019年1月15日）

C / C ++代碼：

• HFS邊界檢查修復

Java代碼：

• 定義了新的工件和屬性
• 修復了SleuthkitCase.getContentById（）中數據源的錯誤
• 修復了LayoutFile.read（）中的錯誤，該錯誤可能允許讀取文件的末尾

案例數據庫架構

• 案例數據庫中 hash values 和獲取詳細信息的新字段
• 在案例數據庫中存儲“創建的架構版本”

4.6.4（2018年11月9日）

Java代碼：

• 增加數據庫中的最大語句以防止負載下的錯誤
• SQLite重試有最大超時

注意：沒有C / C ++命令行/庫更改。僅進行更改以支持Autopsy 4.9.1版本。

4.6.3（2018年10月14日）

C / C ++代碼：

• Hashdb錯誤修復了損壞的索引和 0 hashes
• 用于測試ExtX代碼中數字冪的新代碼

Java代碼：

• 允許通用數據庫訪問的新類
• 檢查重復工件的新方法
• 為常用內容添加了緩存

數據庫架構：

• 添加了 Examiner table
• 標簽現在與 Examiners 相關聯
• 更改了 parent_path，使邏輯文件與FS文件一致。

4.6.2（2018年8月8日）

C / C ++代碼：

• 各種編譯器警告修復
• 在圖像編寫器中增加了少量延遲，以免其他線程餓死

Java：

• 添加了更多鎖定，以確保在其他線程正在使用它們時不關閉這些句柄。
• 添加了API以支持按數據源進行的更多查詢
• 在檢測對象是否有子對象時添加了基于內存的緩存。

4.6.1（2018年5月8日）

• Google的模糊測試對邊界進行了許多修復。感謝Google。
• uckelman-sf等人的清理和修復
• Linux / OS X支持PostgreSQL，libvhdi和libvmdk
• 修復了istat中NTFS GUID的顯示-Eric Zimmerman的報告。
• NTFS istat顯示有關所有FILE_NAME屬性的詳細信息，而不僅僅是第一個。
• 報告可以是URL
• 報告內容
• 添加了用于通信圖視圖的API
• 將JNI庫提取為帶有用戶名的名稱，以避免沖突
• 數據庫版本從8.0升級到8.0，因為現在可以使用報告

4.6.0（2018年2月21日）

• 與Communications相關的新Java類和數據庫表。
• 適用于Autopsy Linux構建的Java構建更新
• Blackboard artifacts 現在是Java中的Content對象，也是數據庫中tsk_objects表的一部分。
• 增加緩存大小。
• Google的模糊測試對邊界進行了許多修復。
• 來自uckelman-sf的HFS修復。

4.5.0（2017年10月15日）

新功能：

• 支持LZVN壓縮的HFS文件（來自Joel Uckelman）
• 使用E01起的扇區大小（有助于4k扇區大小）
• 數據庫模式的更具體的版本號
• 數據庫中的新本地目錄類型可與虛擬目錄區分開
• 現在，數據庫中的所有黑板文物都是“內容”。現在，附件可以成為其父郵件的子級。
• 將擴展名添加為tsk_files表中的一列。

Bug修復：

• 更快地解決HFS硬鏈接
• Google Fuzzing所做的許多修復。

4.4.2（2017年8月7日）

• 用于NTFS USN日志的usnjls工具（來自noxdafox）
• 向數據庫中的mime類型列添加索引
• 使用本地SQLite3（如果存在）（來自uckelman-sf）
• Blackboard artifacts有一個簡短的描述方法
• 修復了最高的HFS + inum查找（來自uckelman-sf）
• 修復ISO9660崩潰
• 各種性能修復和增加的線程安全檢查

4.4.1（2017年5月30日）

• 讀取具有新IMAGE_WRITER結構的本地驅動器時，可以創建稀疏的VHD文件。目前正由Autopsy使用。
• 許多清理和修復。包括內存泄漏，unicode清理，丟失的NTFS文件（在極少數情況下），非常長的文件夾結構和數據庫插入

4.4.0（2017年1月18日）

• Windows中的編譯現在使用Visual Studio 2015
• tsk_loaddb現在為空閑空間添加了新文件，并且相應地升級了JNI。
• Java API更新

4.3.1（2016年10月25日）

• NTFS適用于4k扇區
• 在Java中增加了對以編碼形式存儲本地文件的支持（XORed）
• 在數據模型中添加了Java Account對象
• 在blackboard上添加了復審狀態的概念
• PostgreSQL升級版
• 各種小錯誤修復

4.3.0（2016年7月19日）

• PostgreSQL支持（僅Windows）
• 新版本_ NoLibs Visual Studio目標
• 通過libvmdk和libvhdi支持虛擬機格式（僅Windows）
• 架構更新（數據源表，mime類型，屬性存儲類型）
• tsk_img_open可以采用外部創建的TSK_IMG_INFO
• 各種小錯誤修復

4.2.0（2015年9月16日）

• 添加了ExFAT支持
• 新的數據庫架構
• 新的Sqlite哈希數據庫
• 各種錯誤修復
• NTFS更加注意順序并僅在匹配時才加載元數據。
• 添加了輔助hash數據庫索引

4.1.3（2014年1月25日）

• 修復了可能導致inode_lookup中的UFS / ExtX崩潰的錯誤。
• ISO9660代碼中的更多邊界檢查
• 圖像層邊界檢查
• SQLITE-JDBC的更新版本
• 更改了Java如何加載navite庫
• YAFFS2備用區的配置文件
• 圖像層中返回名稱的新方法
• Yaffs2清理。
• 轉義SQLite數據庫中的所有字符串
• SQlite代碼使用NTTFS序列號來匹配父ID

4.1.2（2013年9月25日）

• fiwalk現在可以在Linux上編譯！對于那個很抱歉。

4.1.1（2013年9月24日）

• 時間線上的FILE_NAME時間
• Cellebrite磁盤圖像自動檢測
• 64位Windows目標
• 修復了Sqlite代碼不使用NTFS序列的錯誤
• Jar文件中具有本機庫

4.1.0（2013年6月17日）

Core的新功能：

• 添加了YAFFS2支持（viaForensics的補丁）。
• 添加了Ext4支持（來自kfairbanks的補丁）

框架：

• 添加了Linux和MAC支持。
• 添加了L01支持。
• 添加了API以按名稱，路徑和擴展名查找文件。
• 刪除了不推薦使用的TskFile :: getAttributes方法。
• 移動了代碼以支持AutoBuild工具。

Java綁定：

• 添加了DerivedFile數據模型支持
• 向Content添加了一個公共方法，以在對象被gc之前添加關閉tsk句柄的功能
• 向ReadContentInputStream添加了更快的skip（）和隨機查找支持
• 通過將常用方法推送到AbstractFile來重構數據模型
• 修復了較小的內存泄漏
• 改進的Java綁定數據模型回歸測試框架

4.0.2（2013年2月4日）

Core的新功能：

• 現在已包含fiwalk。

核心中的錯誤修復：

• 修復了fcat在NTFS文件上運行的問題（雖然仍然不支持ADS）。
• 修復了tsk_loaddb / SQLite中的HFS +支持-未添加根目錄。
• 現在，列出目錄內容時，NTFS代碼將查看所有MFT條目。它過去只查看孤立文件的未分配條目。這修復了分配了目錄b樹中缺少文件的映像。
• 在MFT條目中搜索所有文件時，NTFS代碼使用序列號。
• 更改Libewf檢測代碼以更可靠地支持v2 API（ID：3596212）。
• 如果$ SDS是塊大小的倍數，NTFS $ SII代碼在極少數情況下可能會崩潰。

框架：

• 向TskImgDB添加了新API，該API返回圖像的基本名稱。
• 對框架的許多性能改進。
• 刪除了框架中在管道配置文件中指定模塊擴展名的要求。
• 添加了黑板構件以代表操作系統和網絡服務用戶帳戶。

Java綁定

• 查詢文件的更多方法
• 添加到數據庫時獲取當前目錄的方法。
• 修改類結構
• 兒童/父母的更多懶惰加載。
• 從C ++拋出更好的異常

4.0.1（2012年11月13日）

包含次要的新功能和錯誤修復。

新功能：

• 顯示更多DOS分區類型。
• 添加了fcat工具，該工具接受文件名并導出內容（相當于一起使用ifind和icat）。
• FAT代碼（映射和dir_add）的性能改進
• NTFS代碼（地圖）的性能改進
• 添加了AONLY標志到block_walk
• 更新了blkls和blkcalc以使用AONLY標志-速度更快。

Bug修復：

• 修復了Mactime問題，該問題可能會選擇不遵循夏令時的錯誤時區。
• 固定框架中備用數據流的文件大小。
• 合并了ADF Solutions的內存泄漏修復程序和原始設備修復程序。

4.0.0（2012年10月2日）

這是4.0的第一個非beta版本，其中添加了框架以及許多其他錯誤修復和功能。請參閱下面的Beta版本的歷史記錄，以獲取自3.2.3開始的所有新事物的完整列表。該測試版中的新功能包括：

• 更好的FAT孤立文件搜尋和循環檢測。
• 在TskAuto中更好的錯誤報告
• 從ATC-NY更新了HFS +代碼
• 新的mactime -y參數使用ISO8601格式
• 框架具有新的EXIF模塊和較小的更新。
• tsk_analyzeimg可以用scalplel雕刻。

4.0.0（測試版1：2012年5月30日）

此版本添加了新的分析框架，C ++類，Java綁定以及其他使構建端到端取證系統更加容易的功能。

• 具有第一組基本模塊的框架（哈希計算，哈希查找，熵計算，RegRipper，ZIP文件提取，通過名稱簽名提取等）–僅Windows
• 多線程支持
• C ++包裝器類
• JNI綁定和數據模型類
• 所有未設置的時間均顯示為0，而不是1970。
• 支持libewf v2
• 僅需要指定拆分或E01中的第一個文件。
• 哈希工具中的EnCase哈希集支持。
• 用于loaddb數據庫的新表架構，它支持更多數據類型（雕刻的，本地文件等）。
• …

3.2.3（2011年10月7日）

此版本有一些小的錯誤修復和功能。新功能包括：

• 只需要在一組文件中指定第一個E01文件
• 在tsk_recover中添加了-d選項
• 即使擴展分區失敗，也會加載DOS分區

錯誤修復包括：

• 清理損壞的孤立FAT名稱
• RAW CD支持

3.2.2（2011年6月10日）

此版本有一些小的錯誤修復。新功能包括：

• 支持RAW CD

錯誤修復包括：

• ISO9660目錄處理
• FAT刪除文件檢測
• FAT刪除名稱清理

3.2.1（2011年2月27日）

此版本有一些小的錯誤修復。新功能包括：

• 如果沒有卷系統，SQLite DB將包含一個虛擬條目。
• 在Unix上進行構建時，構建目錄可以與源目錄不同。

錯誤修復包括：

• fls參數
• 在某些Linux系統上使用pthread編譯錯誤
• 不同的FAT目錄條目檢查
• mingw編譯錯誤
• mactime CSV輸出將文件名括在引號中

3.2.0（2010年10月28日）

此版本具有新功能和錯誤修復。感謝Anthony Lawrence在新功能方面的幫助。新功能包括：

• 新的tsk_recover工具可將文件從映像提取到本地目錄。
• 新的tsk_loaddb工具將文件系統元數據轉儲到SQLite數據庫。
• 新的tsk_getimes工具可收集所有文件系統上的MAC時間數據（相當于一系列卷上的fls -m）
• 新的tsk_comparedir工具可將目錄與映像進行比較以檢測rootkit。
• 新的C ++ TskAuto類使創建用于分析所有文件的自動化工具更加容易。
• 從庫中命名清理到工具中。
• img_cat -e和-s標志。
• 更改了默認NTFS $ Data屬性的命名方式。
• HFS + fsstat中的區分大小寫標志。

錯誤修復包括：

• FAT表現
• 損壞的NTFS文件的崩潰修復
• 添加屬性在具有多個相同類型屬性的碎片文件上運行。

3.1.3（2010年7月2日）

此版本有一些錯誤修復：

• FAT表現

3.1.2（2010年5月23日）

此版本有一些錯誤修復：

• FAT表現
• 讀取錯誤
• ifind不停止
• mmls -B顯示錯誤

3.1.1（2010年3月31日）

此版本有一些錯誤修復：

• ISO9660修復
• 分類器修復

3.1.0（2010年1月13日）

早該發布的版本增加了新功能，并修復了許多錯誤。新功能包括：

• HFS +支持
• 支持每個非512字節的扇區（向每個命令行工具添加“ -b”）
• NTFS SID數據現在可用
• mactime與Windows可執行文件一起分發
• 更好地檢測GPT分區和DOS安全分區
• 更多AFFLIB格式和對加密文件的更好支持
• Sigfind可以處理非原始文件
• 更好地支持間接塊（添加了3.0.0中丟失的功能）
• 許多錯誤修復。

3.0.1（2009年2月2日）

此版本包含一些錯誤修復。沒有新功能。

3.0.0（2008年10月19日）

這個主要版本包含許多新的庫和工具功能。

• 現在，孤兒文件（已刪除的文件具有元數據結構，但沒有可從根目錄訪問的父目錄）現在顯示在$ OrphanFiles目錄中。
• FAT文件系統MBR和文件分配表現在可以作為根目錄中的文件訪問。
• 使用“ fls”（和相應的庫API）時，每個目錄中都會顯示更多已刪除的文件。過去，這需要為每個目錄運行’ifind -p’，現在它是自動完成的。
• 新的mmcat工具可輸出單個卷的內容。
• 新的mmls標志僅列出特定的卷。
• 如果主數據庫損壞，則使用備用FAT MBR。
• d *工具（dls，dcat等）現在被命名為blk *（blkls，blkcat等）
• 排序器中新的“ -b”選項可指定最小文件大小。
• 添加了mingw對交叉編譯的支持
• 不需要回調設計的新庫API和文檔
• 修正了一些小錯誤。