Het programma The Sleuth Kit is een collectie forensische tools die gebruikt kunnen worden om de harde schijf nader te bekijken. Daarmee wordt het mogelijk om verwijderde bestanden terug te halen of gedeeltelijk te bekijken. Ondersteuning voor ntfs-, fat-, exfat-, ufs1-, ufs2-, ext2fs-, ext3fs-, etx4-, hfs-, yaffs2- en iso 9660-indelingen is aanwezig. Voor meer informatie verwijzen we naar deze pagina. De ontwikkelaars hebben onlangs versie 4.6.6 uitgebracht, met de volgende veranderingen:
The Sleuth Kit 4.6.6
C/C++ Code:Java:
- Acquisition details are set in DB for E01 files
- Fix NTFS decompression issue (from Joe Sylve)
- Image reading fix when cache fails (Joe Sylve)
- Fix HFS+ issue with large catalog files (Joe Sylve)
- Fix free memory issue in srch_strings (Derrick Karpo)
The Sleuth Kit 4.6.5
- Fix so that local files can be relative
- More Blackboard artifacts and attributes for web data
- Added methods to CaseDbManager to enable checking for and modifying tables.
- APIs to get and set acquisition details
- Added methods to add volume and file systems to database
- Added method to add LayoutFile for allocated files
- Changed handling of JNI handles to better support multiple cases
C/C++ Code:Java Code:
- HFS boundary check fix
Case Database Schema
- New artifacts and attributes defined
- Fixed bug in SleuthkitCase.getContentById() for data sources
- Fixed bug in LayoutFile.read() that could allow reading past end of file
The Sleuth Kit 4.6.4
- New fields for hash values and acquisition details in case database
- Store "created schema version" in case database
This release has no changes to the command line tools or C/C++ libraries. It is being done only to support the Autopsy 4.9.1 release.
Java Code:
- Increase max statements in database to prevent errors under load
- Have a max timeout for SQLite retries
:strip_exif()/i/2003339318.png?f=thumbmedium)