Het programma The Sleuth Kit is een collectie van een aantal forensische tools die gebruikt kunnen worden om de harde schijf nader te bekijken. Het is mogelijk om verschillende verwijderde bestanden weer terug te halen of gedeeltelijk te bekijken. Het programma wordt geschreven in C en Perl en is getest op Linux, MacOS X, OpenBSD, FreeBSD, Solaris en Cygwin. Ondersteuning voor NTFS, FAT, FFS, EXT2FS en EXT3FS is aanwezig. Sinds kort is versie 1.71 beschikbaar met het volgende changelog:
Bug Fixes:Major Updates:
- Type / size casting errors with FAT.
- NTFS handling of sparse files
- Filler errors with NTFS files and 'icat' (rare)
- Missing name with NTFS attribute (rare)
[break]Let er wel op dat dit programma via een command line werkt. Een grafische interface is ook beschikbaar onder de naam Autopsy Forensic Browser .
- Improved istat & fsstat output for NTFS.
- 'ifind -p' will find deleted NTFS files based on their parent directory, which results in more deleted files being found.
- Encrypted and compressed files are noted, but not processed.
- Improved slack support in dls -s.
- dcalc can calculte original location of data in dls -s output.
- GPT disk support in mmls.
:strip_exif()/i/2003339318.png?f=thumbmedium)
/u/63948/beepic.png?f=community){kind=small}