The Sleuth kit and Autopsy

# The Sleuth kit and Autopsy ### Введение The Sleuth Kit (TSK) — это библиотека и набор инструментов командной строки, которые позволяют вам исследовать образы дисков. Основные функции TSK позволяют анализировать данные тома и файловой системы. Библиотека может быть включена в более крупные инструменты цифровой криминалистики, а инструменты командной строки могут использоваться напрямую для поиска доказательств. Оригинальная часть Sleuth Kit — это библиотека C и набор инструментов с интерфейсом командной строки для судебного анализа файлов и системных дисков, томов. Инструменты файловой системы позволяют исследовать файловые системы подозрительного компьютера неразрушительными методами. Поскольку инструменты не полагаются на операционную систему при обработке файловых систем, они могут показывать удалённое и скрытое содержимое. Они работают на платформах Windows и Unix (Linux). Инструменты системных томов (инструменты управления медиа носителями) позволяют проанализировать расположение дисков и других носителей. Sleuth Kit поддерживает разделы DOS (также называются MBR), разделы BSD (метки дисков), разделы Mac, Sun slices (содержание тома) и GPT-диски. С помощью этих инструментов вы можете определить, где расположены разделы, и извлечь их, чтобы их можно было проанализировать с помощью инструментов анализа файловой системы. Autopsy — это графический интерфейс к инструментам в The Sleuth Kit, который упрощает проведение расследования. Autopsy обеспечивает управление кейсами, целостность образов, поиск по ключевым словам и другие автоматизированные операции. ### Установка Для установки The sleuth kit and Autopsy (Windows) > https://www.sleuthkit.org/sleuthkit/download.php https://www.autopsy.com/download/ Для установки The sleuth kit and Autopsy (Linux) > sudo apt-get update sudo apt-get install autopsy Для установки The sleuth kit and Autopsy (MacOS) Надо установка Package "Homebrew" > https://brew.sh/index_id > brew install autopsy ### Recovery Photo Сделаем первый кейс. нажимаеи `New Case` ![](https://i.imgur.com/TdN6PpU.png) Case Name - Это имя для кейса и выбираем место сохранения кейса ![](https://i.imgur.com/lvNG6sa.png) Case Number - Это регистр чисел. Examiner - кто проверить это дело ![](https://i.imgur.com/W0BuZiI.png) ![](https://i.imgur.com/fOkWDfl.png) ![](https://i.imgur.com/m4z38U0.png) Выбираем диск который будем проверять ![](https://i.imgur.com/w1Rr310.png) ![](https://i.imgur.com/tMnbejh.png) ![](https://i.imgur.com/TLoINSg.png) ![](https://i.imgur.com/gs3bWLI.png) Просмотр всех файлов который был в диске x с красным это означает удаленный файл ![](https://i.imgur.com/LBrzA2n.png) Открываем файл который удалил раньше ![](https://i.imgur.com/GZNPx5G.png) нажимаем Extract для восстановление файлов ![](https://i.imgur.com/wXsmahF.png) файлы появляются в директории ![](https://i.imgur.com/eMOqDVT.png)