1、什么是Autopsy
Autopsy Forensic Browser
是数字取证工具-The Sleuth Kit(TSK)
的图形界面,一个用来分析磁盘映像和恢复文件的开源取证工具。提供在磁盘映像中进行字符串提取,恢复文件,时间轴分析,chrome,firefox 等浏览历史分析,关键字搜索和邮件分析等功能。
2、什么是dftt
dftt
代表Digital Forensics Tool Testing Images
。 该网站包含用于测试数字(计算机)取证分析和采集工具的文件系统和磁盘镜像。
3、JPEG 搜索测试
此次测试镜像是一个NTFS
文件系统,里面包含10张JPEG
图片,图片还嵌入了zip
和word
等文件。我们需要从中找出图片和其他文件
4、步骤
1)下载测试镜像
2)校验测试镜像
3)配置Autopsy
4)进行取证分析
5)恢复已删除的文件
5、进行取证准备工作
1)建立测试目录
2)下载测试镜像
下载第八个:dftt.sourceforge.net/test8/index…
3)解压文件
4)校验镜像
5)配置 Autopsy
从应用程序里面启动 Autopsy
访问 http://localhost:9999/autopsy
5.1)选择创建一个新的 CASE
5.2)然后填入一些信息,比如案件名字,描述等,然后点 NEW CASE
5.3)然后选择"Add Host",然后配置一些信息
5.4)然后点 ADD IMAGE
添加镜像
将镜像路径复制进去
粘贴路径到 Autopsy
里面,类型选 Partition
(分区),导入方式选 Symlink
(链接)
点下一步,然后设置一些参数,然后点 ADD
然后点 OK
然后点击IMAGE INTEGRITY
进行镜像完整性检查
查看 md5
校验和,应该与之前我们用md5sum
命令查看的是一致的,然后点 CLOSE
6、使用Autopsy
分析镜像和恢复文件
1)点击 ANALYZE
按钮,进行分析
2)查看镜像详情
文件系统类型是 NTFS
,还有卷序列号,此序列号应该与原磁盘上的一致,这一点在法庭证据链上非常重要,以证明你分析的镜像副本的卷序列号与原始磁盘是一致的。
系统类型是 windows xp
3)使用Autopsy
查看文件分析详细情况
3.1)查看所有已删除的文件,点击左下角的All Deleted Files
可以看到有两个被删除的文件,其中一个是 jpg
文件:file6.jpg
,还有个后缀名hmm
的file7
是什么呢?
3.2)点击 file6.jpg
,可以看到 File Type
为 JPEG image data
,然后导出文件
将文件保存到 /var/forensics/images
目录
3.3)添加一条记录,点右下角的Add Note
输入你的名字,日期,和一些其他的信息,然后点OK
可以查看记录
3.4)查看已删除文件 file7.hmm
点击 左下角的 ALL DELETED FILES
,然后点击 file7.hmm
Autopsy
分析出来是 JPEG
文件,同样选择 Export
导出保存到 /var/forensics/images
目录
然后点 Add Note
添加一条记录
3.5)再次对镜像进行md5
校验
然后点击 VALIDATE
,与原始的进行比较
这样做的目的是证明你在取证过程中没有破坏和修改过镜像,如果被破坏和修改,在法律上,这个证据将会变得无效。
7、完成取证
1)关闭 FILE SYSTEM IMAGES
2)查看取证日志
👇👇戳下方链接即可在线体验取证工具Autopsy
的使用
8、说明
本文由合天网安实验室原创,转载请注明来源。
关于合天网安实验室
合天网安实验室(www.hetianlab.com)-国内领先的实操型网络安全在线教育平台
真实环境,在线实操学网络安全 ; 实验内容涵盖:系统安全,软件安全,网络安全,Web安全,移动安全,CTF,取证分析,渗透测试,网安意识教育等。
网络安全基础入门需要学习哪些知识?
网络安全学习路线
这是一份网络安全从零基础到进阶的学习路线大纲全览,小伙伴们记得点个收藏!
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-HI0KPIQ2-1676654481827)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]编辑
阶段一:基础入门
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-gHCsV23l-1676654481829)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]
网络安全导论
渗透测试基础
网络基础
操作系统基础
Web安全基础
数据库基础
编程基础
CTF基础
该阶段学完即可年薪15w+
阶段二:技术进阶(到了这一步你才算入门)
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-vJW4BYkP-1676654481830)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]
弱口令与口令爆破
XSS漏洞
CSRF漏洞
SSRF漏洞
XXE漏洞
SQL注入
任意文件操作漏洞
业务逻辑漏洞
该阶段学完年薪25w+
阶段三:高阶提升
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Iqxj7Abt-1676654481831)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]
反序列化漏洞
RCE
综合靶场实操项目
内网渗透
流量分析
日志分析
恶意代码分析
应急响应
实战训练
该阶段学完即可年薪30w+
阶段四:蓝队课程
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-NIvYPZIV-1676654481831)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]
蓝队基础
蓝队进阶
该部分主攻蓝队的防御,即更容易被大家理解的网络安全工程师。
攻防兼备,年薪收入可以达到40w+
阶段五:面试指南&阶段六:升级内容
需要上述路线图对应的网络安全配套视频、源码以及更多网络安全相关书籍&面试题等内容