neue Versionen von Sleuthkit und Autopsy

Sleuthkit 2.04 und Autopsy 2.07 wurden veröffentlicht

Brian Carrier hat vor einigen Tagen neue Versionen seiner beiden Forensikwerkzeuge Autopsy und Sleuthkit veröffentlicht.
Sleuthkit ist eine Open Source Toolsammlung für die forensische Analyse von Datenträgern und Dateisystemen. Autopsy ist eine HTML-Oberfläche, die Sleuthkit und einige Systemtools sinnvoll zusammenfasst und in ein Case-Management einbettet.
Neben einigen Bugfixes wurden folgende neue Funktionen in Sleuthkit 2.04 aufgenommen (Auszug aus der Changelog):

• Expert Witness (EnCase) image file support using libewf (Joachim Metz and Robert Jan Mora).
• Advanced File Format image file support using AFFLIB (Simson Garfinkel).
• ISO 9660 file system support (Wyatt Banks, Crucial Security)
• mmls now displays the unpartitioned space at end of disk (suggested by Wyatt Banks).
• New img_cat tool to output the raw contents of an image file.
• Improved internal error handling for library usage.
• New internal flag FS_FLAG_DATA_RES to show resident data during a file walk.
• The file system byte offset is now passed to the file system code instead of imgtools, this allows for better library usage.

Bei Autopsy 2.04 gab es folgende Neuigkeiten (aus Changelog übernommen):

• Support for Expert Witness and AFF file formats
• Support for ISO9660 file systems
• Hex view for file analysis

Die wesentlichsten Neuerungen dürften wohl die Unterstützung der beiden Format ISO9660 und „EnCase“ sein. Wie bei den Vorgängerversionen auch laufen Autopsy und Sleuthkit unter Unix. Die Übersetzung unter Cygwin scheiterte bei mir diesmal, ich habe mich aber noch nicht auf die Fehlersuche begeben 😉