日, 2010/10/31 - 00:18 — kazamiya
sleuthkit 3.2.0が2010/10/28付けでリリースされました。
新しくtsk_ではじまるコマンドが4つ追加されました。今後tsk_ではじまるコマンドは自動化用のカテゴリに位置づけられるとのことです。4つのコマンドの概要は以下の通りです。
- tsk_comparedir
通常のアクセスとraw経由のアクセスでディレクトリ階層を比較する。rootkitの検出に有用。 - tsk_gettimes
イメージからタイムライン作成用のデータを抽出する。"fls -m"の実行と同様の結果を得られるが、tsk_gettimesはイメージ内の複数のファイルシステムを一回で処理することができる。 - tsk_loaddb
イメージから得たメタデータ情報をSQLiteデータベースに投入する。 - tsk_recover
ディスクイメージから未割当、割当状態のファイルを取り出す。
以下はtsk_loaddb実行結果のdbファイルをSQLite Managerで参照した画面です。
その他詳細は以下で確認できます。
http://svn.sleuthkit.org/repos/sleuthkit/tags/sleuthkit-3.2.0/NEWS.txt
日本語manも更新しましたので参照される方は以下からどうぞ。
The Sleuth Kit
http://www.kazamiya.net/sleuthkit/
