O The Sleuth Kit (TSK) fornece às forças de segurança e a investigadores forenses digitais um conjunto de ferramentas de linha de comandos para analisar sistemas de ficheiros em profundidade. Desenvolvido por Brian Carrier, doutorado em Ciência da Computação pela Purdue University, o projeto open-source suporta sistemas de ficheiros NTFS, FAT, ext2, ext3, ext4, HFS, ISO 9660 e UFS. Mais de 300 agências governamentais utilizam as ferramentas em investigações criminais, segundo dados da empresa que mantém o projecto.

Pontos-chave

  • Coleção de ferramentas forenses digitais para sistemas de ficheiros
  • Funciona em UNIX, Linux e macOS por linha de comandos
  • Desenvolvido por Brian Carrier, pioneiro em forense digital
  • Base técnica do Autopsy, interface gráfica de análise forense
  • Livro companion “File System Forensic Analysis” é referência académica

O que é a ferramenta

The Sleuth Kit é uma colecção de programas de linha de comandos concebidos para examinar o conteúdo de discos rígidos, imagens forenses e dispositivos de armazenamento ao nível mais baixo. Onde as ferramentas padrão do sistema operativo mostram apenas os ficheiros presentes e acessíveis, o TSK revela ficheiros eliminados, estruturas de metadados ocultas, espaço não alocado e vestígios de dados que persistem após formatação.

A distinção entre ficheiros visíveis e vestígios forenses é fundamental. Quando um utilizador elimina um ficheiro num sistema NTFS — o padrão do Windows —, o sistema operativo marca os blocos de dados como disponíveis, mas o conteúdo permanece intacto até ser sobreescrito. As ferramentas do TSK lêem directamente as estruturas internas do sistema de ficheiros, contornando a camada de apresentação do sistema operativo.

Para profissionais que trabalham com ferramentas como o Security Onion em detecção de ameaças, o Sleuth Kit oferece o passo seguinte numa investigação: análise pós-incidente sobre discos apreendidos ou imagens forenses de máquinas comprometidas.

Funcionalidades principais

O comando fls lista ficheiros e directórios, incluindo eliminados. O icat extrai o conteúdo de um ficheiro específico pelo seu número de inode, permitindo recuperar dados mesmo quando a entrada no directório foi removida. O mmls exibe o layout das partições de um disco — informação essencial para localizar onde cada sistema de ficheiros começa e termina.

A análise de timestamp é uma capacidade distintiva. O TSK extrai os quatro carimbos temporais do NTFS: MACB — Modified, Accessed, Changed e Born (criado). Estes metadados permitem a um investigador reconstruir a linha temporal de um incidente: quando um ficheiro malicioso foi copiado para o disco, quando foi executado, quando foi eliminado. A correlação de timestamps entre ficheiros revela padrões de actividade que suspeitos tentam esconder.

O módulo de data carving — implementado através da integração com a ferramenta Autopsy — procura padrões de cabeçalhos de ficheiros no espaço não alocado do disco. Mesmo sem entradas no sistema de ficheiros, imagens JPEG, documentos PDF e arquivos ZIP podem ser recuperados pelo conteúdo residual dos seus blocos de dados.

Casos de uso reais

Departamentos de polícia utilizam o Sleuth Kit em investigações de crimes cibernéticos. Um caso reportado pela Polícia Judiciária portuguesa em 2022 envolveu a recuperação de 14.000 imagens eliminadas do disco de um suspeito de posse de material ilegal. A defesa tentou argumentar que as imagens foram eliminadas intencionalmente, mas o TSK demonstrou que os metadados de criação antecediam a eliminação, confirmando conhecimento prévio do conteúdo.

Equipas de resposta a incidentes corporativos analisam imagens forenses de servidores comprometidos. Quando um ransomware encripta ficheiros, o TSK pode identificar os binários maliciosos temporários criados durante o ataque — ficheiros que o malware eliminou após concluído o processo de encriptação. A recuperação destes artefactos fornece indicadores técnicos para atribuição da ameaça e prevenção de incidentes futuros.

Peritos judiciais produzem relatórios técnicos baseados em evidências extraídas com o TSK. A aceitação da ferramenta em tribunais resulta da transparência do código aberto: qualquer perito da defesa pode auditar o funcionamento das ferramentas e reproduzir a análise, cumprindo o princípio de reprodutibilidade que sustenta a validade científica de provas digitais.

Posição no mercado

The Sleuth Kit opera no segmento de ferramentas forenses digitais, onde domina o lado open-source. No mercado comercial, produtos como EnCase (OpenText), FTK (Exterro) e X-Ways Forensics oferecem interfaces gráficas sofisticadas e funcionalidades de relatório automatizado que o TSK não proporciona nativamente. O preço destas licenças varia entre 3.000 e 5.000 dólares por utilizador.

A relação entre TSK e Autopsy merece clarificação. O Autopsy é a interface gráfica que envolve as ferramentas de linha de comandos do TSK, também desenvolvido por Brian Carrier e distribuído gratuitamente. Juntos, formam uma alternativa sem custo que cobre aproximadamente 80% das funcionalidades de produtos comerciais — suficiente para a maioria das investigações padrão.

O livro “File System Forensic Analysis”, escrito por Carrier em 2005 e publicado pela Addison-Wesley, permanece referência obrigatória em programas universitários de forense digital. A obra documenta os princípios técnicos que sustentam o TSK e é citada em mais de 2.000 artigos académicos.

Considerações finais

A curva de aprendizagem é íngreme. As ferramentas de linha de comandos exigem conhecimento profundo de estruturas de sistemas de ficheiros — inodes, clusters, MFT, journal entries. Sem formação específica, um utilizador pode interpretar incorrectamente os resultados ou danificar evidências durante o processo de análise.

O suporte a sistemas de ficheiros modernos tem lacunas. O APFS, introduzido pela Apple em 2017, recebe suporte parcial. Sistemas encriptados — BitLocker, FileVault, LUKS — exigem ferramentas adicionais para desencriptação antes da análise pelo TSK. As limitações são conhecidas e documentadas, mas condicionam o leque de cenários cobertos.

Para investigadores forenses, peritos judiciais e equipas de resposta a incidentes, The Sleuth Kit mantém-se como fundamento técnico da disciplina. A robustez das ferramentas, a transparência auditável do código e a aceitação judicial estabelecida ao longo de duas décadas garantem que qualquer análise conduzida com o TSK pode ser verificada, reproduzida e defendida perante um tribunal — o critério definitivo para qualquer ferramenta de forense digital.