The Sleuth Kit (TSK) je alat otvorenog koda koji se koristi za forenzičku analizu snimke tvrdog diska.

Alat automatski otkriva sve datoteke, bile one izbrisane ili ne. Tokom analize se kreira diskovna hijerarhija , tj. popis svih direktorija i datoteka te jednostavna navigacija nad njima.

TSK u sebi sadrži mnogo manjih alata, odgovornih za određene poslove, kao što su na primjer pretraga po imenu, ekstenziji , prikaz datuma nastanka datoteke i njena zadnja izmjena, prikaz veličine datoteke i sažetak iznosa (numerički iznos datoteke).

Osim informacija o samim datotekama, TSK prikazuje i informacije o samom tvrdom disku, od imena, pa do njegove aktivnosti.

Alat je besplatan te nudi mogućnost proširenja, kao i vlastiti API koji programerima omogućuje da koriste neke alate ovog programa u svojim programima.

 

Digitalna forenzika je grana forenzike koja prikuplja, analizira i prezentira podatke koji se nalaze na memorijskim uređajima.  Ona se, zbog različitih vrsta uređaja za pohranu podataka, dijeli na računalnu forenziku , mrežnu , forenziku mobilnih telefona te forenziku baza podataka. Digitalnom forenzikom se mogu baviti svi koji posjeduju potrebno znanje, od pojedinaca da korporacija te upravnih službi (policija).

Kako bi rezultati digitalne forenzike bili priznati na sudu trebaju se poštivati propisana pravila izvršavanja forenzike. Osim priznanja, od rezultata forenzike se očekuje i da obrade čim više nelegalnih činjenica, jer odluka suda ovisi o broju pronađenih tragova.

Prije početka analize potrebno je zaprimljeni materijal prekopirati na drugi disk. Zaprimljeni materijal ili disk je potrebno odložiti na sigurno mjesto, a nad kopijom se provodi analiza (uobičajeno je i napraviti više kopija). Popularan alata za analizu podataka je i The Sleuth Kit (TSK) .

TSK je zapravo, skup alata otvorenog koda za provedbu digitalne forenzike. TSK automatizira i pojednostavljuje određene korake te time omogućuje forenzičaru da se koncentrira na same dokaze, a ne na rad samog alata. TSK ne posjeduje grafičko sučelje već se naredbe upisuju u komandnu liniju. Kako bi se program prilagodio korisniku napravljen je TSK API (skup biblioteka koje programerima omogućuju korištenje TSK resursa i funkcija).  Danas mnogi programi koriste TSK tehnike za svoje potrebe. Također, kako bi se koristile sve funkcije programa, napravljen je Autopsy, grafička verzija TSK-a. Grafičko sučelje Autopsya je napisano u HTMLu pa se program pokreće u web pregledniku.

Prvi korak analize jest pristup disku - predmetu vještačenja. Ukoliko se koristi TSK, on će adresirat (popisati) sve datoteke na disku, bile one izbrisane ili ne. Ako su datoteke izbrisane, onda će TSK na temelju oznaka za početak i kraj datoteke, pokušti rekonstruirati datoteku. Kad je datoteka izbrisana, ona se ne miče s tvrdog diska, već se samo briše s popisa datoteka koji se nalazi u tablici na početku tvrdog diska. Ta tablica sadrži popis svih datoteka, odnosno sadrži podatke koji dio diska je rezerviran, a koji nije. U slučaju da je na mjestu izbrisane datoteke (slobodni diskovni prostor) zapiše nova, onda će TSK pokušati na temelju ostatka izbrisane datoteke otkriti njen sadržaj. Recimo da smo vlasnici parkirališta. Na ulazu u parkiralište se nalazi kućica u kojoj je popis svih rezerviranih mjesta. Ako nekome istekne rezervacija, to mjesto postaje slobodno, iako je možda auto i dalje tamo parkiran. Ako je auto i dalje parkiran (podatak je i dalje zapisan), onda ćemo ga  lako otkriti. Mnogi kriminalci u želji da prikriju tragove mijenjaju ekstenzije (format) datoteke. TSK će neovisno o formatu  pročitat datoteku jer gleda zaglavlje datoteke a ne njegov opisnik. Zaglavlje se nalazi na početku svake datoteke i možemo ga zamisliti kao malu tablicu koja sadrži ime datoteke, vrstu, autora i ostale informacije.  Recimo da je netko rezervirao parkiralište (prethodni primjer) za auto, a na parkirnom mjestu je motocikl. Neovisno o rezervaciji, zaključujemo da se radi o motociklu.

Osim što će TSK pročitat sve skrivene, izbrisane i izmjenjene datoteke, pa čak i kriptirane datoteke (pronalaskom izbrisane nekriptirane datoteke), TSK ima i set alata za otkrivanje metapodataka te vremenske aktivnosti tvrdog diska. Metapodaci su specifikacije same datoteke, kao što na primjer tekstualni dokument u svom zaglavlju ima ime ili inicijale autora te vrijeme nastanka i ostale informacije. Kod forenzičke analize je vrlo bitno vrijeme kada se pojedina datoteka stvorila/modificirala/izbrisala. TSK daje popis vremena nastanka svake datoteke, njene zadnje izmjene i zadnje otvaranje.

Nakon što su pronađeni svi dokazi uz pomoć TSK-a, potrebno je napraviti dokumentaciju (rezultat vještačenja), u kojem se navode svi pronađeni dokazi. Ako je na primjer napadač ukrao kreditne kartice neke banke, onda se svaki broj računa koji je pronađen mora navesti u izvještaju. Sud će na temelju rezultata vještačenja donijeti presudu.

Osim u forenzici, TSK je našao primjenu i u spašavanju podataka s tvrdog diska. Zbog velike podrške za različite vrste datotečnih i operacijskih sustava te samih datoteka, TSK je vrlo raširen te bilježi brz razvoj dodataka koji nude nove mogućnosti analize forenzičkog slučaja te podršku za nove uređaje, odnosno sustave.