The Sleuth Kit: установка фреймворка для криминалистического анализа

<100 full reads

Программы для криминалистического анализа компьютера

Для обработки артефактов файловой системы возможно использовать набор программного обеспечения The Sleuth Kit (сайт: www.sleuthkit.org).

Логотип набора ПО The Sleuth Kit. Источник: SleuthKit.org
Логотип набора ПО The Sleuth Kit. Источник: SleuthKit.org

Краткий обзор The Sleuth Kit

The Sleuth Kit (TSK) - это набор инструментов судебной экспертизы файловой системы, созданным Брайаном Карриером, как обновленная версия более раннего набора программ Coroner’s Toolkit. Набор инструментов Коронера (TCT) был разработан специально для проведения криминалистического анализа скомпрометированных Unix-подобных систем. Будучи очень мощным набором инструментов судебной экспертизы, TCT имел свои недостатки, в том числе, отсутствие переносимости между различными системами и отсутствие поддержки для файловых систем, отличных от Unix. Компания Carrier разработала набор Sleuth Kit, таким образом, чтобы он был портативным, расширяемым и полезным инструментарием для криминалистической экспертизы с открытым исходным кодом.

Установка The Sleuth Kit

The Sleuth Kit изначально поддерживает обработку необработанных (raw) образов дисков (в том числе образов, разбитых на несколько частей), но может также использовать возможность обработки дополнительных форматов образов из программных пакетов LibEWF и AFFLib.

Получение исходного кода

Сведём к минимуму количество посредников, участвующих в создании исполняемого кода, скачав и самостоятельно, в ручную скомпилировав набор Sleuth Kit. Это гарантирует, что у нас в системе установлены последние версии необходимых для ПО библиотек. Для обновления репозиториев пакетов может потребоваться некоторое время.

Ссылки на актуальные версии дистрибутива и исходных кодов The Sleuth Kit доступны на официальном сайте в разделе "Загрузки": https://www.sleuthkit.org/sleuthkit/download.php

Ссылка на актуальные на данный момент исходные коды Sleuth Kit на сайте проекта GitHUB: https://github.com/sleuthkit/sleuthkit/releases/download/sleuthkit-4.10.0/sleuthkit-4.10.0.tar.gz

Для загрузки архива исходных кодов в операционной системе Linux используем терминал и команду wget:

wget https://github.com/sleuthkit/sleuthkit/releases/download/sleuthkit-4.10.0/sleuthkit-4.10.0.tar.gz

Загрузка архива исходных кодов The Sleuth Kit при помощи wget в Linux.
Загрузка архива исходных кодов The Sleuth Kit при помощи wget в Linux.
Вычисление SHA256 хеш-суммы скачанного архива при помощи sha256sum в Linux.
Вычисление SHA256 хеш-суммы скачанного архива при помощи sha256sum в Linux.

Содержимое архива: список файлов в архиве sleuthkit-4.10.0.tar.gz с подробной информацией: https://yadi.sk/d/ex-9pRAPsihU3g

tar -tvf sleuthkit-4.10.0.tar.gz

Хеш-суммы SHA256 распакованных файлов из архива sleuthkit-4.10.0.tar.gz: https://yadi.sk/d/E4FtzhBptqv-hQ

sha256sum -b `find ./ -type f`

Хеш-сумма SHA256 текстового файла со списком хешей исходных кодов The SleuthKit.
Хеш-сумма SHA256 текстового файла со списком хешей исходных кодов The SleuthKit.

Ещё один из возможных вариантов получения файлов исходных кодов: вы можете загрузить файлы исходников напрямую из репозитория ГитХаб, для этого используем функцию clone программы git:

git clone https://github.com/sleuthkit/sleuthkit.git

После проверки всех файлов запускаем последовательно 2 команды для компиляции и установки The Sleuth Kit:

sudo ./configure

sudo make install

Другие материалы по теме The Sleuth Kit