Sleuth Kit - это библиотека для цифровой криминалистики и набор инструментов командной строки, позволяющий анализировать образы дисков и восстанавливать файлы с них. Этот инструмент также позволяет добавлять дополнительные модули для анализа содержимого файлов и построения автоматизированных систем.
Инструменты в этом наборе позволяют исследовать файловые системы подозрительного компьютера ненавязчивым образом. Да, это возможно, потому что эти инструменты не зависят от операционной системы.
Sleuth Kit поддерживает разделы DOS, разделы BSD, разделы Mac и GPT-диски.
Другие особенности:
- Анализирует необработанные файлы, файлы Expert Witness (например, EnCase) и AFF, а также образы дисков.
- Поддерживает файловые системы NTFS, FAT, ExFAT, UFS 1, UFS 2, EXT2FS, EXT3FS, Ext4, HFS, ISO 9660 и YAFFS2.
- Во время реагирования на инциденты инструменты можно запускать в операционной системе Windows или UNIX. Показывает файлы, которые были «скрыты» руткитами.