0X01什么是Autopsy

AutopsyForensic Browser是数字取证工具-TheSleuthKit(TSK)的图形界面，一个用来分析磁盘映像和恢复文件的开源取证工具。提供在磁盘映像中进行字符串提取，恢复文件，时间轴分析，chrome，firefox等浏览历史分析，关键字搜索和邮件分析等功能。

0X02什么是dftt

网址：http://dftt.sourceforge.net/

dftt代表DigitalForensics Tool Testing Images。该网站包含用于测试数字(计算机)取证分析和采集工具的文件系统和磁盘镜像。

0X03JPEG搜索测试

此次测试镜像是一个NTFS文件系统，里面包含10张JPEG图片，图片还嵌入了zip和word等文件。我们需要从中找出图片和其他文件

0X04步骤

1)下载测试镜像

2)校验测试镜像

3)配置Autopsy

4)进行取证分析

5)恢复已删除的文件

0X05进行取证准备工作

1)建立测试目录

2)下载测试镜像

下载第八个：http://dftt.sourceforge.net/test8/index.html

3)解压文件

4)校验镜像

5)配置Autopsy

从应用程序里面启动Autopsy

访问http://localhost:9999/autopsy

5.1)选择创建一个新的CASE

5.2)然后填入一些信息，比如案件名字，描述等，然后点NEWCASE

5.3)然后选择"AddHost"，然后配置一些信息

5.4)然后点ADDIMAGE添加镜像

将镜像路径复制进去

粘贴路径到Autopsy里面，类型选Partition(分区)，导入方式选Symlink(链接)

点下一步，然后设置一些参数，然后点ADD

然后点OK

然后点击IMAGEINTEGRITY进行镜像完整性检查

查看md5校验和，应该与之前我们用md5sum命令查看的是一致的，然后点CLOSE

0X06使用Autopsy分析镜像和恢复文件

1)点击ANALYZE按钮，进行分析

2)查看镜像详情

文件系统类型是NTFS，还有卷序列号，此序列号应该与原磁盘上的一致，这一点在法庭证据链上非常重要，以证明你分析的镜像副本的卷序列号与原始磁盘是一致的。

系统类型是windowsxp

3)使用Autopsy查看文件分析详细情况

3.1)查看所有已删除的文件，点击左下角的AllDeleted Files

可以看到有两个被删除的文件，其中一个是jpg文件：file6.jpg，还有个后缀名hmm的file7是什么呢？

3.2)点击file6.jpg，可以看到FileType为JPEGimage data，然后导出文件

将文件保存到/var/forensics/images目录

3.3)添加一条记录，点右下角的AddNote

输入你的名字，日期，和一些其他的信息，然后点OK

可以查看记录

3.4)查看已删除文件file7.hmm

点击左下角的 ALLDELETED FILES，然后点击file7.hmm

Autopsy分析出来是JPEG文件，同样选择Export导出保存到/var/forensics/images目录

然后点AddNote添加一条记录

3.5)再次对镜像进行md5校验

然后点击VALIDATE，与原始的进行比较

这样做的目的是证明你在取证过程中没有破坏和修改过镜像，如果被破坏和修改，在法律上，这个证据将会变得无效。

0X07完成取证

1)关闭FILESYSTEM IMAGES

2)查看取证日志