본문 바로가기
보안/포렌식

TSK

모아이모아이 2014. 2. 7. 17:42

TSK


정의 :  
 - TSK(The Sleuth Kit)은 Brian Carrier가 File System Forensics을 위해 개발한 도구이다.
 - 지원하는 명령어 도구는 다음과 같다.

  blkcalc, blkcat, blkls, blkstat, diskstat, ffind, fls, fsstat, hfind, icat, ifind,

  ils, img_cat, img_stat, istat, jcat, jls, mactime, mmcat, mmls, mmstat, sigfind,

  sorter, srch_string, tsk_comparedir, tsk_gettimes, tsk_loaddb, tsk_recover 

- 다운로드 주소 : http://sourceforge.net/projects/sleuthkit/files/sleuthkit/


사용 예제
 - fsstat (file system status)
    - 사용 형태 : fsstat [-tvV] [-f fstype] [-i imgtype] [-b dev_sector_size] [-o imgoffset] image
    - 옵션 설명 : (굳이 옵션을 적지 않아도 알아서 해주긴 한다. -_-...)

-t : 파일시스템의 타입을 출력

-i (imgtype) : 이미지 덤프파일의 형식(아래는 지원되는 형식이다.)

(1) raw (Single raw file (dd))

(2) split (Split raw files)

-b (dev_sector_size) : 분석 대상의 섹터 크기(byte, 기본적으로 512byte로 계산)

-f (fstype) : 파일시스템의 유형(아래는 지원되는 형식이다.)

(1) ntfs (NTFS)

(2) fat (FAT (Auto Detection))

(3) ext (ExtX (Auto Detection))

(4) iso9660 (ISO9660 CD)

(5) hfs (HFS+)

(6) ufs (UFS (Auto Detection))

(7) raw (Raw Data)

(8) swap (Swap Space)

(9) fat12 (FAT12)

(10) fat16 (FAT16)

(11) fat32 (FAT32)

(12) ext2 (Ext2)

(13) ext3 (Ext3)

(14) ufs1 (UFS1)

(15) ufs2 (UFS2)

-o (imgoffset) : 이미지에서 파일시스템이 시작하는 섹터의 오프셋

-v : 에러 상세 출력

-V : 해당 도구 버전 출력

 - 명령어 : fsstat 위치


- blkcat (Block Cat)
    - 사용 형태 : blkcat [-ahsvVw] [-f fstype] [-i imgtype] [-b dev_sector_size] [-o imgoffset] [-u usize] image [images] unit_addr [num]

    - 옵션 설명 :

-a : ASCII 형태로 출력

 -h : hexdump 형태로 출력

 -i(imgtype) : 이미지 덤프파일의 형식(아래는 지원되는 형식이다.)

(1) raw (Single raw file (dd))

(2) split (Split raw files)

 -b(dev_sector_size) : 분석 대상의 섹터 크기(byte, 기본적으로 512byte로 계산)

 -o(imgoffset) : 이미지에서 파일시스템이 시작하는 섹터의 오프셋

 -f(fstype) : 파일시스템의 유형(아래는 지원되는 형식이다.)

(1) ntfs (NTFS)

(2) fat (FAT (Auto Detection))

(3) ext (ExtX (Auto Detection))

(4) iso9660 (ISO9660 CD)

(5) hfs (HFS+)

(6) ufs (UFS (Auto Detection))

(7) raw (Raw Data)

(8) swap (Swap Space)

(9) fat12 (FAT12)

(10) fat16 (FAT16)

(11) fat32 (FAT32)

(12) ext2 (Ext2)

(13) ext3 (Ext3)

(14) ufs1 (UFS1)

(15) ufs2 (UFS2)

-s : 블록의 크기 출력

-v : 상세한 표준에러 출력

-V : 해당 도구 버전 출력

-w : html 형태로 출력

-u(usize) : 이미지파일에서의 기본 블록 크기 지정

[num] : 출력 때 동시에 출력 할 블록의 개수(기본 1)

 - 명령어 : blkcat -h(헥사) 위치 섹터번호 | xxd(헥사로 잘 보여주는 프로그램)

 - 명령어 : blkcat -a(아스키) 위치 섹터번호



'보안 > 포렌식' 카테고리의 다른 글

증거 수집  (0) 2015.02.17
침해사고  (0) 2015.02.16
인터넷 사용 기록 포렌식 프로그램 (인터넷 익스플로러 10, 11, 엣지 브라우저)  (6) 2015.01.26
Volume Snapshot Service 조사하기  (0) 2014.12.06
FAT : 삭제한 파일 복구  (0) 2014.02.07

'보안/포렌식' Related Articles

티스토리툴바