PTK nieuwe interface van sleuthkit

[libris]

PTK (sleuthkit)

Een digitaal onderzoeker zal vaak met de open source tool Sleuthkit werken.
Sleuthkit is standaard een tool die via de command-line aangestuurd wordt. Er bestaan wel user-interfaces hiervoor zoals Autopsy en PTK. Autopsy is al beschreven dus ik hou het hierbij op PTK en wat de mogelijkheden van deze user-interface is.
PTK is gratis te downloaden van To view this link please Register . PTK wordt geïnstalleerd door middel van een install.php bestand dat zich binnen het pakket bevind. Om PTK te gebruiken moeten de volgende software geconfigureerd en geïnstalleerd zijn op het Unix onderzoeksstation: Apache2, php en mysql.
Screenshot PTK



Een paar mogelijkheden die je hebt met PTK in tegenstelling tot Autopsy zijn:
De mogelijkheid om meerdere onderzoekers aan te maken, en deze bepaalde rechten te geven voor projecten.
PTK heeft de mogelijkheid om een digitale kopie te indexeren.
Een live search optie waarmee je kunt bladeren door de digitale kopie.
Het gebruiken van PTK:
Voordat je een onderzoek kan starten zul je je moeten aanmelden met je onderzoekersnaam + wachtwoord, hierna kun je bestaande onderzoeken waarbij jij rechten hebt bekijken en onderzoeken.
Hierna heb je meerdere opties die je kan uitvoeren, je kan een nieuw project aanmaken en bijvoorbeeld een image toevoegen om te onderzoeken. Je kan een bestaand project onderzoeken en wanneer je hiervoor de permissies hebt kun je gebruikers aanmaken en permissies voor hen instellen.
Het nadeel van PTK is dat het nog in ontwikkeling is en nog niet betrouwbaar is voor echte onderzoeken.

Screenshot van de Autopsy:

[libris]

Ik ben zelf wat meer gaan verdiepen in PTK. Ik zal jullie op de hoogte houden, ikzelf denk wel dat dit een vervanger kan worden voor autopsy. Tot nu toe ben ik er positief over. moderne look, de "cases" kunnen goed beheerd worden door de admin.

Voorderest zal ik erg veel proberen om de stabiliteit van het programma te testen. Want een kopie van een paar gig inladen is niet lastig.. maar hoe gaat dit bij 500 gig. Trekt hij het dan nog.. en over het netwerk.. lukt dat ook. Die punten uit testen is mijn doel. Ik hou jullie op de hoogte.

Groeten.

[sandor]

Heeey,

Ik heb samen met Libris een bug gevonden binnen PTK maar deze er ook uitgehaald.

De bug hield het volgende in:
wanneer je een rapport automatisch liet genereren en hem later opnieuw wou openen vervangde ptk automatisch een spatie naar een + hierdoor klopte de link niet meer en gaf ptk aan dat het rapport niet bestond.

We hebben dit op de volgende manier opgelost:
we zijn naar analysis_report.php gegaan en hierin de volgende regel aangepast:
De regel ziet er als volgt origineel uit:
<tag style="width:170px;overflow:hidden;cursorointer;$inter; float:left" onclick="document/getElementById('right').src='../report/<?$=urlencode............. de rest van de regel is niet belangrijk wel het woord urlencode
wanneer je dit verandert naar rawurlencode is het probleem opgelost en wordt het rapport perfect geladen.

wel raar dat de makers van ptk zo'n klein verschil er niet uit halen terwijl het eigenlijk een groot probleem kan zijn, want wanneer je niet weet hoe je in de map reports komt kan je het raport later niet meer openen.

als er nog vragen zijn horen we het graag op het forum.

Groeten

[sandor]

Hier een nieuwtje over PTK, PTK heeft tot nu toe de volgende opties in de versie 1.0.5 zitten:
* File Analysis, hier kun je door de image bladeren
* TimeLine, hier kun je een uitvoer krijgen van een voorafingestelde datum (een filter)
* Keyword, Hier kun je zoeken op bepaalde woorden
* Gallery, Hier laat PTK alle foto's zien die in de aangewezen map staan
* Image details, dit laat alle gegevens over de image zelf zien.
* Data unit, hier kun je per sector de image bekijken.
* Bookmark, hier worden de bewijzen die je hebt aangegeven opgeslagen
* Reports, hier kun je een report laten genereren van alle bookmarks die je hebt opgegeven.

dit zijn de voorlopige opties die PTK in zijn versie heeft, het volgende hoort nog in PTK te komen en mijn verwachting is dat dit in 2009 geimplementeerd wordt.
* Automated Data Carving process, het herstelling van beschadigde documenten.
* HASH Set Comparison (Ability to include NSRL hash set )
* PST mail archive parsing, de mogelijkheid om alle emails van de image te laten indexeren.
* Microsoft Windows Registry parsing, de mogelijkheid om het register van windows uit te lezen.
* Het sneller maken van PTK, deze versie is nog niet zo snel maar dit hoopt PTK op te lossen.

[Jeroen]

Hoi,
Ik heb mezelf ook wat meer verdiept in PTK. Dit is me bijzonder goed bevallen. Veel mogelijkheden en het ziet beter uit als Autopsy. Het werkt ook prima.
Ook heb ik een programma geprobeerd dat heet Pyflag. Dit is zeker de moeite om ook even een keer naar te kijken. Het is niet zo fijn als PTK maar als je MSN bestanden, mails of log bestanden makkelijk wilt uitlezen moet je dit ook een keer proberen...

[libris]

Werkt dat keyword searching goed bij jou Jeroen? Wij zelf hadden wat problemen.. en zijn daar nog steeds mee bezig. Maar we bouwen het wel vanaf de source code op dus is wel pittig.

Bij ons functioneerd het keyword searching en indexeren nog niet helemaal goed.

Groeten,

[Jeroen]

Hey.
De search en keyword functie werkte bij mij wel. Maar ik moet er wel bij zeggen dat het maar een zeer kleine image was (32 mb ongeveer). Op een grote image heb ik het nog niet gebrobeerd.
Als ik nog problemen of oplossingen tegenkom laat ik ze wel weten

[libris]

Wij hebben het met een image van 2 gig gewerkt, maar binnenkort een grote(300gig ofzo). Maar bij ons haalt de ptk-server images af van een Samba server. Ik denk dat wij het indexeren ook net hebben gemaakt op het laatste moment. maar wij hebben alles van de source gemaakt dus dat was best lastig maar wel leerzaam :lol:

cu

[libris]

Dat indexeren is nog erg traag. maar in de features van ptk zagen ik en sander dat ze dit nog wel sneller willen maken. 2 gig duurde langer dan 30 minuten dus dat is nog niet echt ideaal :lol:

[sandor]

Hoi,

Libris en ik hebben pas een harde schijf van 300 gig ingeladen en opsich viel dit nog niet tegen, je moet er alleen nog niet aan gaan denken om deze image te gaan indexeren maar het file analysis ging best aardig voor een programma in ontwikkeling. Hopelijk wordt in de volgende update ervoor gezorgt dat het programma sneller zal gaan indexeren, want bij de features werdt verteld dat ze ook nog een mail optie willen inbouwen maar hier zal het indexeren toch een stuk sneller voor moeten gaan als ze dit ook nog eens willen doen.

Maar ja, het blijkt wel weer dat PTK ook aardig kan omgaan met grotere images.

Als ik iets meer over PTK of updates heb gevonden laat ik het weten.

Groeten,
Sander