İçeriğe atla

The Sleuth Kit

The Sleuth Kit
Screenshot of Sleuthkit on OSX
Orijinal yazar(lar)Brian Carrier
Güncel sürüm4.12.1 / 29 Ağustos 2023 (13 ay önce) (2023-08-29)[1]
Programlama diliC, Perl
İşletim sistemiUnix-like, Windows
TürBilgisayar adli bilişimi
LisansIPL, CPL, GPL
Resmî sitesiwww.sleuthkit.org/sleuthkit/ Bunu Vikiveri'de düzenleyin
Kod deposu
Bunu Vikiveri'de düzenleyin

The Sleuth Kit (TSK), bilgisayar sistemlerinin adli bilişim analizini kolaylaştırmak amacıyla disk sürücülerinden ve diğer depolama alanlarından veri çıkarmaya yönelik Unix- ve Windows-tabanlı yardımcı programlardan oluşan bir kütüphane ve koleksiyondur. The Sleuth Kit ile birlikte gelen komut satırı yardımcı programlarının grafiksel kullanıcı arayüzü olan ve daha iyi bilinen bir araç olan Autopsy'nin temelini oluşturur.[2][3]

Araç koleksiyonu, açık kaynak kodludur ve GPL, CPL ve IPL lisanlarıyla korunmaktadır. Yazılım aktif geliştirme aşamasındadır ve bir geliştirici ekibi tarafından desteklenmektedir. İlk geliştirme, The Coroner's Toolkit'i temel alarak Brian Carrier[4] tarafından yapılmıştır. Resmi olarak, onun halefi olan bir platformdur.[5]

The Sleuth Kit NTFS, FAT/ExFAT, UFS 1/2, Ext2, Ext3, Ext4, HFS, ISO 9660 ve YAFFS2 dosya sistemlerini ayrı ayrı veya ham (dd), Expert Witness veya AFF formatlarında saklanan disk imajları içinde ayrıştırabilir.[6] The Sleuth Kit, çoğu Microsoft Windows, çoğu Apple Macintosh OSX, birçok Linux ve diğer bazı Unix bilgisayarları veya bunların imajlarını incelemek için kullanılabilir.

The Sleuth Kit, birlikte verilen komut satırı araçları aracılığıyla veya Autopsy veya log2timeline/plaso gibi ayrı bir dijital adli bilişim aracının içine gömülü bir kütüphane olarak kullanılabilir.

Araçlar

The Sleuth Kit'te yer alan araçlardan bazıları şunlardır:

  • ils; inode gibi tüm metadata girdilerini listeler.
  • blkls; (eski adıyla dls) bir dosya sistemi içindeki veri bloklarını görüntüler.
  • fls; bir dosya sistemi içindeki ayrılmış ve ayrılmamış dosya adlarını listeler.
  • fsstat; bir imaj veya depolama ortamı hakkında dosya sistemi istatistiksel bilgilerini görüntüler.
  • ffind; belirtilen bir meta veri girişine işaret eden dosya adlarını arar.
  • mactime; MAC zamanları temelinde tüm dosyaların bir zaman çizelgesini oluşturur.
  • disk_stat; (şu anda yalnızca Linux'ta) bir Host Protected Area'nın varlığını keşfeder.

Uygulamalar

The Sleuth Kit aşağıdakiler için kullanılabilir:

  • Ana amacı olarak adli bilişim incelemeleri için,
  • İşletim sistemi tüm meta verileri kaldırmış olsa bile bir disk sürücüsünde hangi verilerin depolandığını anlamak için.
  • Silinen resim dosyalarını kurtarmak için,[7]
  • Silinen tüm dosyaların özetlenmesi için,[8]
  • Dosyaları ada veya içerdiği anahtar kelimeye göre aramak için,[9]
  • Bilgisayar depolama aygıtlarıyla ilgilenen gelecekteki tarihçiler tarafından kullanılmak üzere

Ayrıca bakınız

  • Autopsy — The Sleuth Kit için grafiksel bir kullanıcı arayüzü.
  • CAINE Linux — The Sleuth Kit'i de içeren adli bilişim analizi için geliştirilmiş bir Linux dağıtımı

Kaynakça

  1. ^ "Releases - sleuthkit/sleuthkit". 6 Eylül 2023 tarihinde kaynağından arşivlendi. Erişim tarihi: 9 Kasım 2020GitHub vasıtasıyla. 
  2. ^ Parasram, Shiva V. N. (2017). Digital forensics with Kali Linux: perform data acquisition, digital investigation, and threat analysis using Kali Linux tools. Birmingham, UK. ISBN 978-1-78862-957-7. OCLC 1020288734. 
  3. ^ Altheide, Cory (2011). Digital forensics with open source tools: using open source platform tools for performing computer forensics on target systems: Windows, Mac, Linux, UNIX, etc. Harlan A. Carvey. Burlington, MA: Syngress. ISBN 978-1-59749-587-5. OCLC 713324784. 
  4. ^ "About". www.sleuthkit.org. Brian Carrier. 18 Nisan 2003 tarihinde kaynağından arşivlendi. Erişim tarihi: 30 Ağustos 2016. 
  5. ^ "The Coroner's Toolkit (TCT)". 18 Ağustos 2000 tarihinde kaynağından arşivlendi. 
  6. ^ "File and Volume System Analysis". www.sleuthkit.org. Brian Carrier. 18 Nisan 2003 tarihinde kaynağından arşivlendi. Erişim tarihi: 30 Ağustos 2016. 
  7. ^ "Autopsy: Lesson 1: Analyzing Deleted JPEGs". www.computersecuritystudent.com. 21 Temmuz 2012 tarihinde kaynağından arşivlendi. Erişim tarihi: 20 Haziran 2020. 
  8. ^ "FS Analysis - SleuthKitWiki". wiki.sleuthkit.org. 10 Şubat 2009 tarihinde kaynağından arşivlendi. Erişim tarihi: 20 Haziran 2020. 
  9. ^ "The Sleuth Kit - analyze disk images and recover files". LinuxLinks (İngilizce). 5 Nisan 2019 tarihinde kaynağından arşivlendi. Erişim tarihi: 20 Haziran 2020. 

Dış bağlantılar

Konuyla ilgili yayınlar

İlgili Araştırma Makaleleri

<span class="mw-page-title-main">Sabit disk sürücüsü</span> veri depo cihazı

Sabit disk ya da Hard disk kısaca HDD ya da Türkçesi ile sabit disk sürücüsü veri depolanması amacı ile kullanılan manyetik kayıt ortamlarıdır. Önceleri büyük boyutları ve yüksek fiyatları nedeni ile sadece bilgisayar merkezlerinde kullanılan sabit diskler, cep telefonları ve sayısal fotoğraf makineleri içine sığabilecek kadar küçülen boyutları ile günlük hayatımıza girmişlerdir.

<span class="mw-page-title-main">Adli bilişim</span>

Adli bilişim, elektromanyetik ve elektrooptik ortamlarda muhafaza edilen veya bu ortamlarca iletilen ses, görüntü, veri, bilgi veya bunların birleşiminden oluşan her türlü bilişim nesnesinin, mahkemede sayısal delil niteliği taşıyacak şekilde tanımlanması, elde edilmesi, saklanması, incelenmesi ve mahkemeye sunulması çalışmaları bütünüdür.

<span class="mw-page-title-main">Disk bölümlendirme</span>

Bölümlere ayırma, bilgisayarda sabit disk üzerinde işletim sistemlerine özgü mantıksal formatlamaya izin veren mantıksal bölümlerin oluşturulması, bilgisayar mühendisliğinde sabit disk sürücüsünün bölümlere ayırılması ile gerçekleştirilir. Diskin bölümlere ayrılması mantıksal hacim yönetiminin önünü açan bir tekniktir.

<span class="mw-page-title-main">PowerISO</span>

PowerISO, bir CD ve DVD kalıbı oluşturma, açma, şifreleme, sıkıştırma gibi işlere yönelik bir sanal optik disk sürücüsüdür. Ayrıca kendi dosya biçimi olan DAA türünde kalıp dosyaları oluşturabilir. ISO, BIN, NRG ve CDI biçimlerini destekler. En büyük özelliklerinden biri kalıp ISO biçimlerini değiştirebilme özelliğidir. Deneme versiyonunda en fazla 300 MB dosya boyutunu desteklemektedir. PowerISO'da maksimum dosya boyutu 256 GB'dir. PowerISO şirketi Pekin, Çin'de bulunmaktadır.

Kali; Linux tabanlı, CD'den başlatma seçenekli BackTrack yapımcıları tarafından 2013 yılında oluşturulmuş olan bir güvenlik kontrol işletim sistemi. Offensive Security Ltd. aracılığıyla Mati Aharoni, Devon Kearns ve Raphaël Hertzog tarafından geliştirilmekte ve finanse edilmektedir. İçerisindeki araçlar sayesinde birçok alanda güvenlik testi yapmak ve yazılım geliştirmek mümkün. Masaüstü ortamı olarak KDE, GNOME ve Xfce ortamı bulunmaktadır. Ayrıca 64-bit (amd64), 32-bit (i386), ARM ve Armel alt yapı desteği de vardır.

Ağ adli bilişimi dijital adli bilişiminin bir alt dalıdır. Ağ adli bilişiminde; bilgi toplama, adli delil elde etme ve sızma tespiti amaçlarıyla bilgisayar ağlarının izlenmesi ve elde edilen bu verilerin analizi yapılmaktadır.

<span class="mw-page-title-main">Windows Önyükleme Ortamı</span>

Windows Preinstallation Environment, PC'ler, iş istasyonları ve sunucular dağıtım için kullanılan Windows'un hafif versiyonudur veya çevrimdışı iken bir sorun çekimi işletim sistemidir. MS-DOS boot diskleri değiştirmek için tasarlanmıştır ve USB bellek aygıtı, IPXE, PXE, CD-ROM ya da sabit disk üzerinden booting edilebilir. Geleneksel büyük şirketler ve OEM tarafından kullanılır, ve Windows Otomatik Yükleme Seti (WAIK) üzerinden şimdi ücretsiz yazılım olarak kullanılabilir.

MobileMe Apple tarafından sunulan çevrimiçi hizmetlerin ve yazılımların aboneliğe dayalı bir koleksiyonuydu. Tüm hizmetler kademeli olarak değiştirildi ve yerini iCloud aldı. iCloud'a yapılan transferler 31 Temmuz 2012'ye kadar geçerli olmak üzere 30 Haziran 2012'den itibaren hizmet kesildi.

<span class="mw-page-title-main">Çöp Kutusu (bilgisayar)</span>

Çöp Kutusu hesaplamada, bir dosya yöneticisinde kullanıcı tarafından silinmiş, ancak dosya sisteminden kalıcı olarak silinmemiş dosyalar için geçici bir saklama alanıdır. Tipik olarak, bir geri dönüşüm kutusu, kullanıcıya silinen dosyalara göz atmasına, yanlışlıkla silinen dosyaların silinmesini kaldırmasına veya silmesine olanak tanımak üzere, kullanıcıya kalıcı olarak özel bir dosya dizini olarak sunulur.

<span class="mw-page-title-main">MSConfig</span>

MSConfig, Microsoft Windows işletim sisteminde yer alan bir yapılandırma menüsüdür. Başlangıçta çalışacak yazılımı, aygıt sürücülerini ve Windows hizmetlerini devre dışı bırakabilir, yeniden etkinleştirebilir veya önyükleme parametrelerini değiştirebilirsiniz.

IsoBuster, Smart Projects tarafından geliştirilen bir veri kurtarma yazılımıdır. 3.0 sürümünden itibaren, hasarlı dosya sistemlerinden veya optik diskler, sabit disk sürücüleri, USB flash sürücüler ve katı hal diskleri dahil olmak üzere fiziksel olarak hasar görmüş disklerden verileri kurtarabilir. Multisession optik disklerdeki "silinmiş" verilere erişme özelliğine sahiptir ve kullanıcıların disk görüntülerine erişmesine ve dosyaları ZIP arşivinden olduğu gibi çıkarmasına olanak tanır. IsoBuster, kolluk kuvvetleri ve adli bilişim uzmanları tarafından da sıklıkla kullanılır.

Ultimate Boot CD (UBCD), CPU testleri, bellek testleri, virüs taraması ve diğer araçları içeren bir tanılama araçları koleksiyonu içeren önyüklenebilir bir CD-ROM'dur.

<span class="mw-page-title-main">TestDisk</span>

TestDisk, kullanıcıların kayıp bölümleri kurtarmasına veya bozuk dosya sistemlerini onarmasına yardımcı olan ücretsiz ve açık kaynaklı bir veri kurtarma aracıdır. TestDisk, bozuk bir sürücü hakkında ayrıntılı bilgi toplayabilir ve bu bilgiler daha sonra analiz için bir teknisyene gönderilebilir. TestDisk'in desteklediği işletim sistemleri: DOS, Microsoft Windows, Linux, FreeBSD, NetBSD, OpenBSD, SunOS ve MacOS. TestDisk, bölümlenmemiş ve bölümlenmiş ortamları işler. Özellikle GUID Bölüm Tablosunu (GPT), Apple bölüm haritasını, PC/Intel BIOS bölümleme tablolarını, Sun Solaris dilimini ve Xbox sabit bölümleme şemasını tanır. TestDisk bir komut satırı kullanıcı arabirimi kullanır. TestDisk, silinen dosyaları %97 doğrulukla kurtarabilir.

1980'lerde, çoğu dijital adli tıp araştırması, dijital medyayı doğrudan uzman olmayan araçlar kullanarak inceleyen "canlı analizden" oluşuyordu. 1990'larda, araştırmaların medyayı değiştirmeden gerçekleşmesine izin vermek için birkaç ücretsiz yazılım ve diğer özel araçlar oluşturuldu. Bu ilk araç seti temel olarak adli bilişime odaklandı, ancak son yıllarda mobil cihaz adli tıp alanında benzer araçlar gelişti. Bu liste, dijital adli araçların kayda değer örneklerini içerir.

<span class="mw-page-title-main">CAINE Linux</span>

CAINE Linux, Giovanni "Nanni" Bassetti tarafından yönetilen bir İtalyan canlı Linux dağıtımıdır. Proje, 2008 yılında adli bilişim ve olaylara müdahaleyi teşvik etmek için ilgili birkaç ön-yüklü araçla bir ortam olarak başladı.

REMnux, kötü amaçlı yazılımların tersine mühendislik ve analizine yönelik bir Linux araç setidir. REMnux, kötücül yazılım analizi gerçekleştirenlere, topluluk tarafından geliştirilen ücretsiz araçlardan oluşan bir koleksiyon sağlar. Analistler, araçları bulmak, kurmak ve yapılandırmak zorunda kalmadan doğrudan kötü amaçlı yazılımları araştırmak için kullanabilirler. REMnux, 2010 yılından itibaren kurucusu ve birincil sorumlusu olan Lenny Zeltser, 2017'den itibaren dağıtımın mimari ve danışma olarak hizmet veren Erik Kristensen ile 2020'den itibaren dağıtım geliştirme sürecine katılan Corey Forman önderliğinde geliştirilmekte olup, ayrıca açık kaynak kültürü ile topluluğun birçok geliştiricisi ve destekçisi de bulunmaktadır.

Autopsy, The Sleuth Kit'te kullanılan açık kaynak kodlu programların ve eklentilerin birçoğunu devreye almayı kolaylaştıran bir bilgisayar yazılımıdır. Grafiksel kullanıcı arayüzü, ilgili birimin/diskin adli aramasından elde edilen sonuçları göstererek araştırmacıların ilgili veri bölümlerini işaretlemesini kolaylaştırır. Araç, büyük ölçüde Basis Technology Corp. tarafından topluluktan programcıların yardımıyla sürdürülmektedir. Şirket, ürünü kullanmak için destek hizmetleri ve eğitim satmaktadır.

EnCase, Guidance Software tarafından dijital araştırma ürünleri paketi içinde paylaşılan bir teknolojidir. Yazılım, adli bilişim, siber güvenlik, güvenlik analitiği ve e-keşif kullanımı için tasarlanmış çeşitli ürünlerle birlikte gelir. EnCase geleneksel olarak adli bilişimde ele geçirilen sabit sürücülerden kanıt kurtarmak için kullanılır. Araştırmacının belgeler, resimler, internet geçmişi ve Windows Kayıt Defteri bilgileri gibi kanıtları toplamak için kullanıcı dosyalarının derinlemesine analizini yapmasına olanak tanır.

<span class="mw-page-title-main">Adli bilgisayar bilimi</span>

Bilgisayar adli bilişimi (bilgisayar adli bilimi olarak da bilinir), bilgisayarlarda ve dijital depolama ortamlarında bulunan kanıtlarla ilgili adli bilişimin bir dalıdır. Bilgisayar adli biliminin amacı, dijital bilgileri tanımlamak, korumak, kurtarmak, analiz etmek ve sunmak amacıyla dijital medyayı adli açıdan sağlam bir şekilde incelemektir.


Bu sayfa, bu Vikipedi makalesine dayanmaktadır.
Metin, CC BY-SA 4.0 lisansı altında mevcuttur; ek koşullar uygulanabilir.
Görseller, videolar ve sesler kendi lisansları altında mevcuttur.