Instalando o SleuthKit 3.0 e Autopsy 2.20 no Fdtk.
Autor: pneukamp Neukamp // Categoria: SleuthKitO SleuthKit (TSK) é uma coleção de ferramentas de linha de comando que permitem que você investigue o conteúdo de sistemas de arquivos.
Obtendo:
O pacote oficial com os fontes pode ser obtido em: http://www.sleuthkit.org/
Os pacotes compilados para o Debian/Ubuntu pode ser obtidos em:
Libtsk3
wget http://aderbal.pycontrole.com.br/forense/libtsk3-3_3.0.0-1_i386.deb
Sleuthkit
wget http://aderbal.pycontrole.com.br/forense/sleuthkit_3.0.0-1_i386.deb
Autopsy 2.20
wget http://aderbal.pycontrole.com.br/forense/autopsy-2.20.tar.bz2
Vamos lá…
Baixe os pacotes e instale-os:
dpkg -i libtsk3-3_3.0.0-1_i386.deb
dpkg -i sleuthkit_3.0.0-1_i386.deb
Copie e extraia autopsy-2.20.tar.bz2 para /usr/local
cp autopsy-2.20.tar.bz2 /usr/local/
cd /usr/local/
tar -jxvf autopsy-2.20.tar.bz2
cd autopsy-2.20/
sudo ./configure
aderbal@fenix:/usr/local/autopsy-2.20$ sudo ./configure
Autopsy Forensic Browser Installation
perl found: /usr/bin/perl (version 5.008008)
autopsy already exists, overwrite? (y/n):
y
Digite y e pressione enter;
A configuration file already exists, overwrite? (y/n):
y
Digite y e pressione enter;
—————————————————————
grep found: /bin/grep
file found: /usr/bin/file
md5 found: /usr/bin/md5sum
sha1 found: /usr/bin/sha1sum
—————————————————————
Searching for Sleuth Kit Installation.
Found in: /usr/bin/
Version 3.0.0 found
Required version found
—————————————————————
The NIST National Software Reference Library (NSRL) contains
hash values of known good and bad files.
http://www.nsrl.nist.gov
n
Caso tenha uma cópia da NSRL digite y e indique o caminho
Projeto Americano que promove a utilização das tecnologias em inquérito de crimes que envolvam computadores.
Caso não tenha digite n e continue a instalação.
—————————————————————
Autopsy saves configuration files, audit logs, and output to the
Evidence Locker directory.
Enter the directory that you want to use for the Evidence Locker:
/home
Indique o diretório onde o autopsy gravará os arquivos gerados pelas investigações.
Baixe o script autopsy.sh
wget http://aderbal.pycontrole.com.br/forense/autopsy.sh
E copie para /usr/local/bin/
Dê permisão para execução
chmod +x /usr/local/bin/autopsy.sh
Agora é ir para o abraço e rodar, sudo autopsy.sh
Tags: Autopsy, Autopsy-2.20, SleuthKit
13 de abril de 2009 as 10:57
Gostei muito da nova versão do FDTK, no CD-ROM ela funcionou perfeitamente porém, quando instalada no HD a fim de configurar uma estação forense fixa, o Firefox deixou de funcionar….
Resolvi seguir a dica de atualizar o SleuthKit e o Autopsy só que tbm tive problemas: ao instalar o sleuthkit aparece o seguinte erro:
dpkg: erro processando sleuthkit_3.0.0-1_i386.deb (–install):
tentando sobrescrever `/usr/share/man/man1/ils.1.gz’, que também está no pacote tct
Com isso, se eu tentar instalar o Autopsy, obtenho a resposta de que os arquivos do SleuthKit não foram encontrados no diretorio padrão…
Poderias me ajudar?
A idéia é realizar testes para o Curso de Formação de Peritos do IGP de Santa Catarina
Att
Marcelo Winter
Agente Especial
4 de junho de 2009 as 19:32
Caro Marcelo Winter, com relação ao firefox não temos registros de parar de funcionar ao instalar a distro em disco, uso até hoje sem problemas a versão 2.01, vamos analizar com carinho o caso.
Com relação ao erro da instalação do sleuthkit 3.0 te adianto que basta dar um: apt-get remove –purge tct que seus problemas estarão resolvidos, pois ao lançarmos a versão 2.01 coincidiu de sair o pacote novo do sleuthkit praticamente na mesma semana, e o tct da conflito com o o pacote mais novo.
Obrigado e desculpe pela demora na resposta, estamos correndo contra o tempo afim de produzir a nova versão 3.0 da distribuição já fazendo uso do ubuntu 9.04, devemos incluir o pacote do sleuthkit 3.0 mesmo não fazendo parte dos repositórios oficiais do ubuntu.
6 de junho de 2009 as 12:18
Prezado Aderbal Botelho, permita-me corrigir o comando passado ao Marcelo Winter:
apt-get remove –purge tct
o correto é: apt-get remove –purge tct
6 de junho de 2009 as 12:19
deve ser algum erro do site
no lugar de um traço, o correto são dois traços…
7 de fevereiro de 2010 as 16:33
Não entendi à instalação, se precisa baixar arquivo por arquivo, e também a parte de extrair, não encontrei a pasta para ser colocada o arquivo ou seja ” Copie e extraia autopsy-2.20.tar.bz2 para /usr/local
cp autopsy-2.20.tar.bz2 /usr/local/
cd /usr/local/
tar -jxvf autopsy-2.20.tar.bz2
cd autopsy-2.20/
sudo ./configure “
1 de março de 2011 as 22:47
Boa noite,
De quanto em quanto tempo sai uma nova versão do FDTK (Qual a frequencia de atualização) ? Estou fazendo um trabalho e preciso saber.
Grato, Alexandre.