The Sleuth Kit (TSK) — набор автоматизированных инструментов для проведения криминалистического анализа файловых систем, относится к категории приложений "Судебного анализа данных".
TSK (The Sleuth Kit) представляет собой C (си) / C++ библиотеку и коллекцию консольных утилит, предназначенных для проведения анализа данных на произвольных файловых системах. Поддерживается работа с файловыми системами NTFS, FAT, UFS 1, UFS 2, Ext2, Ext3, Ext4, HFS, ISO 9660 и YAFFS2 (в операционной системе поддержка файловых систем не требуется).
В состав The Sleuth Kit входит более двадцати утилит (fsstat, ffind, fls, icat, ifind, ils, istat, blkcat и др), большинство из них для удобства пользователя разбиты на группы (Fully Automated, File System Layer, File Name Layer, Data Unit Layer, File System Journal, Volume System, Image File, Disk Tools и Other Tools). Каждая из утилит набора является низкоуровневой и выполняет одну простую задачу.
Используя набор инструментов The Sleuth Kit можно идентифицировать и восстановить удалённые данные на работающих системах (позволяет работать с дисками напрямую), либо из образов (например снятых при помощи утилит подобных dd).
Набором утилит The Sleuth Kit поддерживается вывод графика активности пользователя, отображение списка существующих и удалённых файлов, вывод статистической информации об образе или носителе, определение типа файловой системы и отображение её структуры, отображение блоков с данными внутри файловых систем и многое другое...
The Sleuth Kit разработан экспертом по безопасности Brian Carrier и основан на исходном коде проектов TCT (The Coroner's Toolkit) и TCTUtils (набор утилит для анализа файловых систем разработанных Dan Farmer и Wietse Venema). Все утилиты из набора подробно документированы, так же для их имеется веб-интерфейс (WebUI) — Autopsy (Autopsy Forensic Browser).
Лицензия: GPL 2 / IBM Public License / Common Public License 1.0
