The Sleuth Kit (TSK) é unha colección de ferramentas de liña de comandos para análise forense de equipos informáticos. TSK conta con ferramentas para o análise dos sistemas de ficheiros que permiten examinar un computador sospeitoso dun modo non intrusivo e obtendo ficheiros eliminados e agochados.
As ferramentas do sistema de volumes permiten examinar a estrutura dos discos e outros medios. Con estas ferramentas identifícase onde están as particións podendo extraelas para ser analizadas polas ferramentas de análise do sistema de ficheiros.
Entre todas características de TSK destacar as seguintes:
- Soporte para sistemas de ficheiros NTFS, FAT, UFS 1, UFS 2, EXT2FS, EXT3FS e ISO 9660
- Listado de nomes de ficheiros eliminados ou ficheiros orfos.
- Visualización de detalles e contidos de todos os atributos NTFS.
- Visualización de detalles da estrutura do sistema de ficheiros e metadatos.
- Motor de indexación para buscas de ficheiros
- Categorización de ficheiros por extensión, análise de sinaturas de ficheiros
Para facer máis amigable o uso das ferramentas de The Sleuth Kit contamos con PTK que é un frontal de interface gráfica que facilita o traballo (ver pantallazos). PTK herda todas as características dispoñibles en TSK.
The Sleuth Kit e PTK son Open Source e traballan baixo plataformas UNIX. Outros recursos que empregan TSK (LiveCD, complementos, …) pódense atopar na seguinte ligazón:
