O TCT é um conjunto de ferramentas de código aberto e gratuito, escrito por Dan Farmer e Wietse Venema, que permite investigar se um sistema UNIX está comprometido. O TCT não foi desenvolvido para apresentar evidências úteis em um processo criminal inicialmente, mas para ajudar a determinar o que aconteceu em um sistema invadido. O TCT apresenta quatro partes principais:

• grave-robber;
• mactime;
• utilitarios (icat, ils, pcat, md5, timeout);
• unrm e lazarus;