The Sleuth Kit

The Sleuth Kit(TSK, sleuthkitなどとも呼ばれます)は主にファイルシステム周りの調査を対象としたコマンド群です。20以上のコマンドが存在しますが、多くはコマンド名の先頭文字で対象とするレイヤを示し、その後にどのような処理をするかを省略した名称が続きます。

先頭文字は具体的には、ディスク(disk)、イメージ(img)、ボリューム(mm)、ファイルシステム(fs)、ファイルネーム(f)、メタデータ(i)、コンテンツ(blk)、ジャーナル(j)があります。

その後に続く名称としては、内容出力(cat)、統計情報出力(stat)、リスティング(ls)、検索(find)があります。

この規則に当てはまらないコマンドは独自レイヤのコマンドに位置付けられますが、調査に有用なユーティリティといった要素が強いように思います。

ここで主要なコマンドがどのレイヤに作用しているかを図にしてみました。基本的に矢印の始点がインプットで終点がアウトプットのイメージですがかなり曖昧です。また、ディスク、イメージ、独自レイヤのコマンドはこの中に含まれていません。

Sleuth Kit Overview

manの日本語訳を作成しました。Attachmentしているのは、UTF-8エンコードで日本語にした全てのmanをtar.gz形式で圧縮したファイルです。

ダウンロード

sleuthkit_4.0.1_jman.tgz