Phenquestions
Inštalácia:
Najskôr spustite nasledujúci príkaz v systéme Linux a aktualizujte svoje úložiská balíkov:
[chránené e-mailom]: ~ $ sudo apt-get aktualizáciaTeraz spustite nasledujúci príkaz na inštaláciu balíka pitvy:
[chránené e-mailom]: ~ $ sudo apt install pitvaToto sa nainštaluje Pitevná súprava Sleuth Kit vo vašom systéme Linux.
Pre systémy založené na systéme Windows si jednoducho stiahnite Pitva z jeho oficiálnej webovej stránky https: // www.sleuthkit.org / pitva /.
Použitie:
Spustime pitvu zadaním $ pitva v termináli. Dostanete sa na obrazovku s informáciami o umiestnení skrinky na evidenciu, začiatočnom čase, miestnom porte a verzii Autopsy, ktorú používame.
Vidíme tu odkaz, ktorý nás môže doviesť pitva. Pri navigácii do http: // localhost: 9999 / pitva v ktoromkoľvek webovom prehliadači nás privíta domovská stránka a teraz môžeme začať používať Pitva.
Vytvorenie prípadu:
Prvá vec, ktorú musíme urobiť, je vytvoriť nový prípad. Môžeme to urobiť kliknutím na jednu z troch možností (Otvoriť prípad, Nový prípad, Pomocník) na domovskej stránke Autopsy. Po kliknutí na ňu sa nám zobrazí táto obrazovka:
Zadajte podrobnosti, ako je uvedené, t.j.e., názov prípadu, mená vyšetrovateľov a popis prípadu s cieľom usporiadať naše informácie a dôkazy použité pri tomto vyšetrovaní. Väčšinou existuje viac ako jeden vyšetrovateľ vykonávajúci digitálnu forenznú analýzu; preto je potrebné vyplniť niekoľko polí. Po dokončení môžete kliknúť na ikonu Nový prípad tlačidlo.
Týmto sa vytvorí prípad s danými informáciami a zobrazí sa miesto, kde sa vytvorí adresár prípadov, i.e./ var / lab / pitva /
Tu nemusíme vypĺňať všetky dané polia. Musíme len vyplniť pole Hostname, kde je zadaný názov vyšetrovaného systému a jeho krátky popis. Ďalšie možnosti sú voliteľné, napríklad určenie ciest, kam sa budú ukladať zlé hodnoty hash, alebo tých, kam sa dostanú ostatní, alebo nastavenie časového pásma podľa nášho výberu. Po dokončení tohto postupu kliknite na ikonu Pridať hostiteľa tlačidlo, aby ste videli podrobnosti, ktoré ste zadali.
Teraz je pridaný hostiteľ a máme umiestnenie všetkých dôležitých adresárov, môžeme pridať obrázok, ktorý sa bude analyzovať. Kliknite na Pridať obrázok Ak chcete pridať súbor s obrázkom, zobrazí sa nasledujúca obrazovka:
V situácii, keď musíte zachytiť obraz ľubovoľného oddielu alebo jednotky daného konkrétneho počítačového systému, je možné obraz disku získať pomocou dcfldd užitočnosť. Na získanie obrázka môžete použiť nasledujúci príkaz,
[chránené e-mailom]: ~ $ dcfldd, ak =bs = 512 počet = 1 hash =
ak =cieľ jazdy, ktorý chcete mať
z =cieľ, kam sa uloží kopírovaný obrázok (môže to byť čokoľvek, napr.g., pevný disk, USB atď.)
bs = veľkosť bloku (počet bajtov, ktoré sa majú naraz kopírovať)
hash =typ hash (napr.g md5, sha1, sha2 atď.) (voliteľné)
Môžeme tiež použiť dd utilita na zachytenie obrazu jednotky alebo oddielu pomocou
[chránené e-mailom]: ~ $ dd, ak =count = 1 hash =
Existujú prípady, keď máme nejaké cenné údaje baran na forenzné vyšetrovanie, takže čo musíme urobiť, je zachytiť Fyzického barana na analýzu pamäte. Urobíme to pomocou nasledujúceho príkazu:
[chránené e-mailom]: ~ $ dd if = / dev / fmem of =hash =
Môžeme sa ďalej pozrieť dd rôzne ďalšie dôležité možnosti obslužného programu na snímanie obrazu oddielu alebo fyzického piestu pomocou nasledujúceho príkazu:
[chránené e-mailom]: ~ $ dd --helpmožnosti pomoci dd
bs = BYTES čítanie a zápis až do BYTES bajtov naraz (predvolené: 512);
prepíše ibs a obs
cbs = BYTES prevádzať BYTES bajtov naraz
conv = CONVS prevedie súbor podľa zoznamu symbolov oddelených čiarkami
count = N kopírovať iba N vstupných blokov
ibs = BYTES načítať až BYTES bajtov naraz (predvolené: 512)
if = SÚBOR načítaný zo SÚBORU namiesto štandardného načítania
iflag = VLAJKY načítané podľa zoznamu znakov oddelených čiarkami
obs = BYTES zapisovanie BYTES bajtov naraz (predvolené: 512)
z = SÚBOR zapisovať do SÚBORU namiesto štandardného výstupu
oflag = VLAJKY zapisujte podľa zoznamu znakov oddelených čiarkami
hľadať = N preskočiť N blokov veľkosti N na začiatku výstupu
skip = N preskočí bloky N ibs na začiatku vstupu
status = LEVEL ÚROVEŇ informácií, ktoré sa majú tlačiť do stderr;
'none' potlačí všetko okrem chybových hlásení,
'noxfer' potláča konečné štatistiky prenosu,
„pokrok“ zobrazuje pravidelné štatistiky prenosu
Za N a BYTES môžu nasledovať nasledujúce multiplikatívne prípony:
c = 1, w = 2, b = 512, kB = 1000, K = 1024, MB = 1000 * 1000, M = 1024 * 1024, xM = M,
GB = 1000 * 1000 * 1000, G = 1024 * 1024 * 1024 atď. Pre T, P, E, Z, Y.
Každý symbol CONV môže byť:
ascii z EBCDIC na ASCII
ebcdic z ASCII do EBCDIC
IBM z ASCII na alternatívny EBCDIC
bloky blokovať záznamy ukončené novým riadkom s medzerami na veľkosť cbs
odblokovanie nahradí koncové medzery v záznamoch veľkosti cbs novým riadkom
malé písmená zmeniť na malé
ucase zmena malých písmen na veľké
riedko skúste hľadať a nie písať výstup pre vstupné bloky NUL
swab vymeniť každý pár vstupných bajtov
synchronizovať každý vstupný blok s NUL na veľkosť ibs; keď sa používa
s blokovaním alebo odblokovaním, blok s medzerami namiesto NUL
okrem zlyhania, ak výstupný súbor už existuje
nocreat nevytvára výstupný súbor
notrunc výstupný súbor neskracuje
noerror pokračovať po chybách čítania
fdatasync pred dokončením fyzicky zapíše údaje výstupného súboru
fsync rovnako, ale zapisuj aj metadata
Každý symbol VLAJKY môže byť:
pridať režim pridania (má zmysel iba pre výstup; conv = notrunc navrhol)
priame použitie priameho I / O pre dáta
adresár zlyhá, pokiaľ adresár
dsync používa synchronizované I / O pre dáta
synchronizovať rovnako, ale aj pre metadáta
fullblock akumuluje celé bloky vstupu (iba iflag)
neblokuje použitie neblokujúcich I / O
noatime neaktualizovať čas prístupu
nocache Žiadosť o zrušenie medzipamäte.
Budeme používať obrázok s názvom 8-jpeg-search-dd sme uložili v našom systéme. Tento obrázok vytvoril pre testovacie prípady Brian Carrier na použitie s pitvou a pre testovacie prípady je k dispozícii na internete. Pred pridaním obrázka by sme mali teraz skontrolovať hash md5 tohto obrázka a neskôr ho porovnať po vložení do skrinky na evidenciu. Oba by sa mali zhodovať. Môžeme vygenerovať md5 súčet nášho obrázka zadaním nasledujúceho príkazu do nášho terminálu:
[chránené e-mailom]: ~ $ md5sum 8-jpeg-search-ddToto urobí trik. Umiestnenie, kde je uložený obrazový súbor, je / ubuntu / Desktop / 8-jpeg-search-dd.
Dôležité je, že musíme vstúpiť na celú cestu, kde sa nachádza obraz, t.r / ubuntu / desktop / 8-jpeg-search-dd v tomto prípade. Symlink je vybraná, vďaka čomu nie je obrazový súbor zraniteľný voči problémom súvisiacim s kopírovaním súborov. Niekedy sa zobrazí chyba „neplatný obrázok“, skontrolujte cestu k súboru s obrázkom a uistite sa, že lomítko „/ ” je tam. Kliknite na Ďalšie zobrazí naše podrobnosti obrázka obsahujúce Systém súborov typu, Namontujte disk, a md5 hodnota nášho obrazového súboru. Kliknite na Pridať umiestnite obrazový súbor do skrinky na dôkazy a kliknite na Ok. Zobrazí sa obrazovka, ako je táto:
Tu úspešne získavame obraz a sme z toho naši Analyzovať časť na analýzu a získanie cenných údajov v zmysle digitálnej forenznej analýzy. Pred prechodom na časť „analyzovať“ môžeme kliknutím na možnosť podrobností skontrolovať podrobnosti obrázka.
Získate tak podrobnosti o obrazovom súbore, ako je použitý súborový systém (NTFS v tomto prípade), oddiel pre pripojenie, názov obrázka a umožňuje rýchlejšie vyhľadávanie kľúčových slov a obnovu dát extrahovaním reťazcov celých zväzkov a tiež nepridelených medzier. Po vykonaní všetkých možností kliknite na tlačidlo Späť. Teraz predtým, ako analyzujeme náš obrazový súbor, musíme skontrolovať integritu obrázka kliknutím na tlačidlo Integrita obrazu a vygenerovaním md5 hash nášho obrázka.
Je dôležité si uvedomiť, že tento hash sa bude zhodovať s tým, ktorý sme vygenerovali prostredníctvom súčtu md5 na začiatku procedúry. Po dokončení kliknite na Zavrieť.
Analýza:
Teraz, keď sme vytvorili náš prípad, dali sme mu názov hostiteľa, pridali sme popis, skontrolovali integritu, môžeme možnosť analýzy spracovať kliknutím na Analyzovať tlačidlo.
Môžeme vidieť rôzne režimy analýzy, t.j.e., Analýza súborov, Hľadanie kľúčových slov, Typ súboru, Detaily obrázku, Dátová jednotka. Najskôr klikneme na Detaily obrázka, aby sme získali informácie o súbore.
Na našich obrázkoch môžeme vidieť dôležité informácie, ako je typ súborového systému, názov operačného systému a najdôležitejšie sériové číslo. Sériové číslo zväzku je pre súd dôležité, pretože ukazuje, že analyzovaný obrázok je rovnaký alebo jeho kópia.
Poďme sa pozrieť na Analýza súborov možnosť.
Vo vnútri obrázka nájdeme množstvo adresárov a súborov. Sú uvedené v predvolenom poradí a môžeme sa pohybovať v režime prehliadania súborov. Na ľavej strane vidíme zadaný aktuálny adresár a v dolnej časti vidíme oblasť, kde je možné vyhľadávať konkrétne kľúčové slová.
Pred názvom súboru sú 4 pomenované polia napísané, sprístupnené, zmenené, vytvorené. Napísané znamená dátum a čas, kedy bol súbor naposledy zapísaný, Prístupné znamená posledný prístup k súboru (v tomto prípade je spoľahlivý jediný dátum), Zmenené znamená poslednú úpravu popisných údajov súboru, Vytvorené znamená dátum a čas, keď bol súbor vytvorený, a - MetaData zobrazuje informácie o súbore iné ako všeobecné informácie.
V hornej časti uvidíme možnosť Generuje sa hash md5 súborov. To opäť zabezpečí integritu všetkých súborov generovaním hashov md5 všetkých súborov v aktuálnom adresári.
Ľavá strana Analýza súborov karta obsahuje štyri hlavné možnosti, t.j.e., Vyhľadanie adresára, hľadanie názvu súboru, všetky odstránené súbory, rozbalenie adresárov. Hľadanie adresára umožňuje používateľom vyhľadávať v adresároch, ktoré chcú. Vyhľadávanie podľa názvu súboru umožňuje prehľadávanie konkrétnych súborov v danom adresári,
Všetky odstránené súbory obsahovať odstránené súbory z obrázka rovnakého formátu, t.j.e., napísané, sprístupnené, vytvorené, metadáta a zmenené možnosti a sú zobrazené červenou farbou, ako je uvedené nižšie:
Vidíme, že prvý súbor je a jpeg súbor, ale druhý súbor má príponu „Hmm“. Pozrime sa na metadáta tohto súboru kliknutím na metadáta úplne vpravo.
Zistili sme, že metaúdaje obsahujú a JFIF vstup, čo znamená Formát výmeny súborov JPEG, takže dostaneme, že je to iba obrazový súbor s príponou „hmm“. Rozbaľte adresáre rozširuje všetky adresáre a umožňuje väčšej oblasti pracovať s adresármi a súbormi v daných adresároch.
Triedenie súborov:
Analýza metadát všetkých súborov nie je možná, takže ich musíme zoradiť a analyzovať zoradením existujúcich, odstránených a nepridelených súborov pomocou príkazu Typ súboru tab.„
Zoradiť kategórie súborov, aby sme mohli ľahko skontrolovať tie, ktoré majú rovnakú kategóriu. Typ súboru má možnosť triediť rovnaký typ súborov do jednej kategórie, t.j.e., Archívy, audio, video, obrázky, metadáta, súbory exec, textové súbory, dokumenty, komprimované súbory, atď.
Dôležitá vec pri prezeraní zoradených súborov je, že Autopsy neumožňuje prezeranie súborov tu; namiesto toho musíme prejsť na miesto, kde sú uložené, a zobraziť ich tam. Ak chcete vedieť, kde sú uložené, kliknite na ikonu Zobraziť zoradené súbory na ľavej strane obrazovky. Miesto, ktoré nám poskytne, bude rovnaké ako to, ktoré sme zadali pri vytváraní puzdra v prvom kroku i.e./ var / lib / pitva /
Ak chcete prípad znovu otvoriť, stačí otvoriť pitvu a kliknúť na jednu z možností "Otvorený prípad.".“
Prípad: 2
Poďme sa pozrieť na analýzu iného obrázka pomocou programu Autopsy v operačnom systéme Windows a zistime, aké dôležité informácie môžeme získať z úložného zariadenia. Prvá vec, ktorú musíme urobiť, je vytvoriť nový prípad. Môžeme to urobiť kliknutím na jednu z troch možností (otvorený prípad, nový prípad, nedávny otvorený prípad) na domovskej stránke pitvy. Po kliknutí na ňu sa nám zobrazí taká obrazovka:
Zadajte názov prípadu a cestu, kam uložiť súbory, a potom zadajte podrobnosti, ako je uvedené, t.j.e., názov prípadu, mená skúšajúcich a popis prípadu, aby sme mohli usporiadať naše informácie a dôkazy použité pri tomto vyšetrovaní. Vo väčšine prípadov vyšetruje viac ako jeden prieskumový pracovník.
Teraz uveďte obrázok, ktorý chcete preskúmať. E01(Formát znalca), AFF(pokročilý forenzný formát), surový formát (DD) a snímky forenznej pamäte sú kompatibilné. Uložili sme obrázok nášho systému. Tento obrázok sa použije pri tomto vyšetrovaní. Mali by sme poskytnúť úplnú cestu k umiestneniu obrázka.
Požiada o výber rôznych možností, ako je analýza časovej osi, filtrovacie hashovanie, vyrezávanie údajov, údaje Exif, získanie webových artefaktov, vyhľadávanie kľúčových slov, analýza e-mailov, extrakcia vložených súborov, kontrola nedávnej aktivity atď. Najlepšie výsledky dosiahnete kliknutím na možnosť Vybrať všetko a potom na ďalšie tlačidlo.
Po dokončení kliknite na tlačidlo Dokončiť a počkajte na dokončenie procesu.
Analýza:
Existujú dva typy analýz, Mŕtva analýza, a Živá analýza:
K mŕtvemu vyšetreniu dôjde, keď sa na zistenie informácií zo špekulovaného rámca použije rámec pre vyšetrovanie. V okamihu, keď sa to stane, Sleuth kit Pitva môže bežať v oblasti, kde je eliminovaná možnosť poškodenia. Autopsy a The Sleuth Kit ponúkajú pomoc pre nespracované formáty, Expert Witness a AFF.
Živé vyšetrovanie sa deje, keď sa predpokladaný rámec rozdeľuje za behu. V tomto prípade, Sleuth kit Pitva môže bežať v akejkoľvek oblasti (čokoľvek iné ako stiesnený priestor). Toto sa často využíva pri reakcii na výskyt, zatiaľ čo sa epizóda potvrdzuje.
Teraz predtým, ako analyzujeme náš obrazový súbor, musíme skontrolovať integritu obrázka kliknutím na tlačidlo Integrita obrazu a vygenerovaním md5 hash nášho obrázka. Je dôležité si uvedomiť, že tento hash sa bude zhodovať s tým, ktorý sme mali pre obrázok na začiatku procedúry. Hodnota hash obrázka je dôležitá, pretože hovorí, či sa s daným obrázkom manipulovalo alebo nie.
Medzitým, Pitva dokončil svoj postup a máme všetky potrebné informácie.
- Najskôr začneme základnými informáciami, ako je použitý operačný systém, naposledy prihlásený používateľ a posledná osoba, ktorá pristúpila k počítaču v priebehu nehody. Za týmto pôjdeme do Výsledky> Extrahovaný obsah> Informácie o operačnom systéme na ľavej strane okna.
Ak si chcete pozrieť celkový počet účtov a všetky priradené účty, prejdeme na Výsledky> Extrahovaný obsah> Používateľské účty operačného systému. Uvidíme takúto obrazovku:
Informácie ako posledná osoba, ktorá pristupuje do systému, a pred menom používateľa sú niektoré pomenované polia prístupné, zmenené, vytvorené. Prístupné znamená posledný prístup k účtu (v tomto prípade je spoľahlivý jediný dátum) a czareagoval znamená dátum a čas vytvorenia účtu. Vidíme, že posledný užívateľ, ktorý vstúpil do systému, bol pomenovaný Pán. Zlo.
Poďme na Programové súbory priečinok zapnutý C jednotka umiestnená na ľavej strane obrazovky, aby ste zistili fyzickú a internetovú adresu počítačového systému.
Môžeme vidieť IP (Internetový protokol) a MAC adresa uvedeného počítačového systému.
Poďme do Výsledky> Extrahovaný obsah> Nainštalované programy, tu môžeme vidieť nasledujúci softvér používaný pri vykonávaní škodlivých úloh súvisiacich s útokom.
- Cain & abel: Výkonný nástroj na čuchanie paketov a nástroj na prelomenie hesla používaný na ňuchanie paketov.
- Anonymizer: Nástroj používaný na skrytie stôp a aktivít, ktoré používateľ so zlým úmyslom vykonáva.
- Ethereal: Nástroj používaný na sledovanie sieťového prenosu a zachytávanie paketov v sieti.
- Roztomilý FTP: Softvér FTP.
- NetStumbler: Nástroj používaný na objavenie bezdrôtového prístupového bodu
- WinPcap: renomovaný nástroj používaný na prístup k sieťovým linkám v operačných systémoch Windows. Poskytuje prístup na nízku úroveň do siete.
V / Windows / system32 nájdeme e-mailové adresy, ktoré používateľ použil. Môžeme vidieť MSN e-mailové adresy, Hotmail, Outlook. Môžeme tiež vidieť SMTP e-mailová adresa priamo tu.
Poďme na miesto, kde Pitva ukladá možné škodlivé súbory zo systému. Prejdite na Výsledky> Zaujímavé položky, a môžeme vidieť prítomnú zip bombu s názvom unix_hack.tgz.
Keď sme sa dostali k / Recycler Našli sme 4 odstránené spustiteľné súbory s názvom DC1.exe, DC2.exe, DC3.exe a DC4.exe.
- Éterický, renomovaný čuchanie Je tiež objavený nástroj, ktorý možno použiť na sledovanie a zachytávanie všetkých druhov káblového a bezdrôtového sieťového prenosu. Znovu sme zhromaždili zachytené pakety a adresár, do ktorého sú uložené /Dokumenty, názov súboru v tomto priečinku je Odposluch.
V tomto súbore vidíme údaje, aké používala obeť prehľadávača, a typ bezdrôtového počítača a zistili sme, že išlo o program Internet Explorer v systéme Windows CE. Webové stránky, na ktoré obeť mala prístup, boli YAHOO a MSN .com, a to sa tiež našlo v súbore Interception.
Pri objavovaní obsahu Výsledky> Extrahovaný obsah> Webová história,
Vidíme to tak, že preskúmame metadáta daných súborov, históriu používateľa, navštívené webové stránky a e-mailové adresy, ktoré uviedol na prihlásenie.
Obnova odstránených súborov:
V predchádzajúcej časti článku sme objavili, ako extrahovať dôležité informácie z obrazu ľubovoľného zariadenia, ktoré dokáže ukladať údaje, ako sú mobilné telefóny, pevné disky, počítačové systémy atď. Spomedzi najzákladnejších potrebných schopností súdneho lekára je pravdepodobne najdôležitejšia rekuperácia vymazaných záznamov. Ako pravdepodobne viete, dokumenty, ktoré sa „vymažú“, zostanú na úložnom zariadení, pokiaľ nebudú prepísané. Vymazanie týchto záznamov v podstate umožňuje prístup zariadenia k prepísaniu. To znamená, že ak podozrivý vymazal záznamy o dôkaze, až kým ich neprepíše rámec dokumentov, zostanú nám prístupné, aby ich mohli získať späť.
Teraz sa pozrieme na to, ako obnoviť odstránené súbory alebo záznamy pomocou Sleuth kit Pitva. Postupujte podľa všetkých vyššie uvedených krokov a pri importovaní obrázka sa nám zobrazí táto obrazovka:
Na ľavej strane okna, ak ďalej rozširujeme Typy súborov uvidíme veľa pomenovaných kategórií Archívy, audio, video, obrázky, metadáta, súbory exec, textové súbory, dokumenty (html, pdf, slovo, .ppx atď.), komprimované súbory. Ak klikneme na snímky, zobrazí všetky obnovené obrázky.
O niečo ďalej, v podkategórii Typy súborov, uvidíme názov možnosti Odstránené súbory. Po kliknutí na toto sa v pravom dolnom okne zobrazia ďalšie možnosti vo forme záložiek označených na analýzu. Karty sú pomenované Hex, výsledok, indexovaný text, reťazce, a Metadáta. Na karte Metadáta uvidíme štyri mená napísané, sprístupnené, zmenené, vytvorené. Napísané znamená dátum a čas, kedy bol súbor naposledy zapísaný, Prístupné znamená posledný prístup k súboru (v tomto prípade je spoľahlivý jediný dátum), Zmenené znamená poslednú úpravu popisných údajov súboru, Vytvorené znamená dátum a čas, kedy bol súbor vytvorený. Teraz, ak chcete obnoviť odstránený súbor, ktorý chceme, kliknite na odstránený súbor a vyberte Export. Požiada o umiestnenie, kde bude súbor uložený, vyberie umiestnenie a klikne Ok. Podozriví sa budú často snažiť zakryť stopy vymazaním rôznych dôležitých súborov. Ako forenzná osoba vieme, že kým tieto dokumenty súborový systém neprepíše, je možné ich získať späť.
Záver:
Pozreli sme sa na postup na získanie užitočných informácií z nášho cieľového obrázka pomocou Sleuth kit Pitva namiesto jednotlivých nástrojov. Pitva je možnosťou, ktorú môže vykonať každý kriminalistický vyšetrovateľ a ktorá je rýchla a spoľahlivá. Autopsy používa viac základných procesorov, ktoré spúšťajú procesy na pozadí paralelne, čo zvyšuje jeho rýchlosť a poskytuje nám výsledky za kratšiu dobu a zobrazuje hľadané kľúčové slová hneď po ich nájdení na obrazovke. V ére, v ktorej sú forenzné nástroje nevyhnutnosťou, poskytuje Autopsy bezplatne rovnaké základné funkcie ako iné platené forenzné nástroje.
Pitva predchádza reputácii niektorých platených nástrojov a poskytuje aj niektoré ďalšie funkcie, ako je analýza registrov a analýza webových artefaktov, čo ostatné nástroje neposkytujú. Pitva je známa pre svoje intuitívne používanie prírody. Rýchle kliknutie pravým tlačidlom myši otvorí významný dokument. To znamená, že vedľa nulového času vydržania zistíme, či sú na našom obraze, telefóne alebo počítači, na ktorý sa pozeráme, výslovné podmienky sledovania. Používatelia môžu tiež ustúpiť, keď sa hlboké úlohy dostanú do slepých uličiek, pomocou úlovkov histórie a dozadu, ktoré im pomôžu nasledovať ich možnosti. Video je možné vidieť aj bez vonkajších aplikácií, čo urýchľuje použitie.
Perspektívy miniatúr, usporiadanie záznamov a typov dokumentov, odfiltrovanie dobrých súborov a nahlasovanie hrozných znakov, použitie vlastného oddeľovacieho súboru hash, je len časťou rôznych zvýraznení, ktoré nájdete na Sleuth kit Pitva verzia 3, ktorá ponúka významné vylepšenia od verzie 2.Spoločnosť Basis Technology všeobecne podporovala práce na verzii 3, kde Brian Carrier, ktorý veľkú časť práce dodal na predchádzajúcich vydaniach Pitva, je CTO a vedúci pokrokovej kriminológie. Rovnako je považovaný za majstra Linuxu a vytvoril knihy o ťažbe merateľných informácií, ktoré Basis Technology vytvára Súprava Sleuth Kit. Preto si klienti môžu pravdepodobne byť skutočne istí, že dostanú slušnú položku, položku, ktorá sa v blízkej budúcnosti nezmizne a ktorá bude pravdepodobne všade okolo potvrdená tým, čo príde.
