镜像文件下载地址
Digital (Computer) Forensics Tool Testing Imageshttp://dftt.sourceforge.net/
Windows下autopsy工具源码
本人使用的是kali自带autopsy工具
Download Autopsy from SourceForge.netAutopsy® is a digital forensics platform and graphical interface to The Sleuth Kit® and other digital forensics tools. It can be used by law…https://sourceforge.net/projects/autopsy/files/latest/download本次下载了第3个ntfs系统关键字测试和第8个jpeg查找测试
点击zip继续下载
将文件解压会有dd文件
将dd文件复制到kaili下面
点击运行autopsy工具
火狐访问
选择new case
随便写(大概就是取证事例的名字)
点击neew case
继续点击add host(添加主机)
保持默认继续点击add host
继续点击add image(添加镜像)
点击add image files
添加你的镜像文件路径
选择是文件磁盘还是文件分区
保持默认
类型选错的报错
选择计算hash值
自动判断你的分区类型
点击add
会帮你计算hash值
点击ok(最重要的页面)
点击details可以查看镜名称,id,文件格式
点击image integer(作用:通过MD5值校验镜像完整性)
点击validate验证
Close关闭
点击analyse分析
点击image detail查看镜像完整信息
点击file analysis(文件分析)
左边4个模块
Directory Seek -------------目录搜索
File Name Search -------------文件搜索
All deleted files -----------------------所有删除的文件
Expa directories---------------------展开目录
点击Expa directories-(+ = 继续展开子目录(右侧))
点击All deleted files ------------------(冒红光)所有删除的文件
最右边点击mata查看详细信息
查看每个文件的matadata
点击file type
点击Sort Files by Type,再点ok
结果出来
点击view Sort Files,复制路径,新url打开file:///路径
可以看出extension一栏为0
说明没有扩展不匹配
关于下载第八种jpeg镜像分析
前面步骤省略
点击export导出图片
Add note
做记录
View(查看你的取证日志)
查看每个文件的matadata
点击file type
点击Sort Files by Type,再点ok
结果出来
点击view Sort Files,复制路径,新url打开file:///路径
有五个扩展不匹配
点击进去
点击keyword search来查找关键字
只有一个结果(原始md5值答案可能要)
原始md5值可能会要求取证