1、什么是Autopsy
Autopsy Forensic Browser 是数字取证工具-The Sleuth Kit(TSK)的图形界面,一个用来分析磁盘映像和恢复文件的开源取证工具。提供在磁盘映像中进行字符串提取,恢复文件,时间轴分析,chrome,firefox 等浏览历史分析,关键字搜索和邮件分析等功能。
2、什么是dftt
dftt代表Digital Forensics Tool Testing Images。 该网站包含用于测试数字(计算机)取证分析和采集工具的文件系统和磁盘镜像。
3、JPEG 搜索测试
此次测试镜像是一个NTFS文件系统,里面包含10张JPEG图片,图片还嵌入了zip和word等文件。我们需要从中找出图片和其他文件
4、步骤
1)下载测试镜像
2)校验测试镜像
3)配置Autopsy
4)进行取证分析
5)恢复已删除的文件
5、进行取证准备工作
1)建立测试目录
2)下载测试镜像
下载第八个:dftt.sourceforge.net/test8/index…
3)解压文件
4)校验镜像
5)配置 Autopsy
从应用程序里面启动 Autopsy
访问 http://localhost:9999/autopsy
5.1)选择创建一个新的 CASE
5.2)然后填入一些信息,比如案件名字,描述等,然后点 NEW CASE
5.3)然后选择"Add Host",然后配置一些信息
5.4)然后点 ADD IMAGE添加镜像
将镜像路径复制进去
粘贴路径到 Autopsy里面,类型选 Partition(分区),导入方式选 Symlink(链接)
点下一步,然后设置一些参数,然后点 ADD
然后点 OK
然后点击IMAGE INTEGRITY进行镜像完整性检查
查看 md5校验和,应该与之前我们用md5sum命令查看的是一致的,然后点 CLOSE
6、使用Autopsy 分析镜像和恢复文件
1)点击 ANALYZE 按钮,进行分析
2)查看镜像详情
文件系统类型是 NTFS,还有卷序列号,此序列号应该与原磁盘上的一致,这一点在法庭证据链上非常重要,以证明你分析的镜像副本的卷序列号与原始磁盘是一致的。
系统类型是 windows xp
3)使用Autopsy查看文件分析详细情况
3.1)查看所有已删除的文件,点击左下角的All Deleted Files
可以看到有两个被删除的文件,其中一个是 jpg文件:file6.jpg ,还有个后缀名hmm的file7是什么呢?
3.2)点击 file6.jpg,可以看到 File Type 为 JPEG image data,然后导出文件
将文件保存到 /var/forensics/images目录
3.3)添加一条记录,点右下角的Add Note
输入你的名字,日期,和一些其他的信息,然后点OK
可以查看记录
3.4)查看已删除文件 file7.hmm
点击 左下角的 ALL DELETED FILES,然后点击 file7.hmm
Autopsy分析出来是 JPEG文件,同样选择 Export导出保存到 /var/forensics/images目录
然后点 Add Note添加一条记录
3.5)再次对镜像进行md5校验
然后点击 VALIDATE ,与原始的进行比较
这样做的目的是证明你在取证过程中没有破坏和修改过镜像,如果被破坏和修改,在法律上,这个证据将会变得无效。
7、完成取证
1)关闭 FILE SYSTEM IMAGES
2)查看取证日志
??戳下方链接即可在线体验取证工具Autopsy的使用
8、说明
本文由合天网安实验室原创,转载请注明来源。
关于合天网安实验室
合天网安实验室(www.hetianlab.com)-国内领先的实操型网络安全在线教育平台
真实环境,在线实操学网络安全 ; 实验内容涵盖:系统安全,软件安全,网络安全,Web安全,移动安全,CTF,取证分析,渗透测试,网安意识教育等。
1504
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
