autopsy_取证分析实践之Autopsy
0X01什么是Autopsy
AutopsyForensic Browser是数字取证工具-TheSleuthKit(TSK)的图形界面,一个用来分析磁盘映像和恢复文件的开源取证工具。提供在磁盘映像中进行字符串提取,恢复文件,时间轴分析,chrome,firefox等浏览历史分析,关键字搜索和邮件分析等功能。
0X02什么是dftt
网址:http://dftt.sourceforge.net/
dftt代表DigitalForensics Tool Testing Images。该网站包含用于测试数字(计算机)取证分析和采集工具的文件系统和磁盘镜像。
0X03JPEG搜索测试
此次测试镜像是一个NTFS文件系统,里面包含10张JPEG图片,图片还嵌入了zip和word等文件。我们需要从中找出图片和其他文件
0X04步骤
1)下载测试镜像
2)校验测试镜像
3)配置Autopsy
4)进行取证分析
5)恢复已删除的文件
0X05进行取证准备工作
1)建立测试目录
2)下载测试镜像
下载第八个:http://dftt.sourceforge.net/test8/index.html
3)解压文件
4)校验镜像
5)配置Autopsy
从应用程序里面启动Autopsy
访问http://localhost:9999/autopsy
5.1)选择创建一个新的CASE
5.2)然后填入一些信息,比如案件名字,描述等,然后点NEWCASE
5.3)然后选择"AddHost",然后配置一些信息
5.4)然后点ADDIMAGE添加镜像
将镜像路径复制进去
粘贴路径到Autopsy里面,类型选Partition(分区),导入方式选Symlink(链接)
点下一步,然后设置一些参数,然后点ADD
然后点OK
然后点击IMAGEINTEGRITY进行镜像完整性检查
查看md5校验和,应该与之前我们用md5sum命令查看的是一致的,然后点CLOSE
0X06使用Autopsy分析镜像和恢复文件
1)点击ANALYZE按钮,进行分析
2)查看镜像详情
文件系统类型是NTFS,还有卷序列号,此序列号应该与原磁盘上的一致,这一点在法庭证据链上非常重要,以证明你分析的镜像副本的卷序列号与原始磁盘是一致的。
系统类型是windowsxp
3)使用Autopsy查看文件分析详细情况
3.1)查看所有已删除的文件,点击左下角的AllDeleted Files
可以看到有两个被删除的文件,其中一个是jpg文件:file6.jpg,还有个后缀名hmm的file7是什么呢?
3.2)点击file6.jpg,可以看到FileType为JPEGimage data,然后导出文件
将文件保存到/var/forensics/images目录
3.3)添加一条记录,点右下角的AddNote
输入你的名字,日期,和一些其他的信息,然后点OK
可以查看记录
3.4)查看已删除文件file7.hmm
点击左下角的 ALLDELETED FILES,然后点击file7.hmm
Autopsy分析出来是JPEG文件,同样选择Export导出保存到/var/forensics/images目录
然后点AddNote添加一条记录
3.5)再次对镜像进行md5校验
然后点击VALIDATE,与原始的进行比较
这样做的目的是证明你在取证过程中没有破坏和修改过镜像,如果被破坏和修改,在法律上,这个证据将会变得无效。
0X07完成取证
1)关闭FILESYSTEM IMAGES
2)查看取证日志
autopsy_取证分析实践之Autopsy相关推荐
- 利用Volatility进行Windows内存取证分析(一):初体验
简介 承接上文,上文中使用cuckoo沙箱的时候提到过,分析恶意代码的时候,首先利用沙箱做粗略分析,然后可以目标程序进行动态分析(OD,Windbg调试)或者静态分析(IDA静态反汇编).如果嫌每次逆 ...
- OSSIM平台安全事件关联分析实践
OSSIM平台安全事件关联分析实践 在<开源安全运维平台OSSIM最佳实践>一书中叙述到,事件关联是整个OSSIM关联分析的核心,对于OSSIM的事件关联需要海量处理能力,主要便于现在需要 ...
- Python 优化第一步: 性能分析实践 使用cporfile+gprof2dot可视化
拿来主义: python -m cProfile -o profile.pstats to_profile.py gprof2dot -f pstats profile.pstats |dot -Tp ...
- 安全技术大系iOS取证分析
<安全技术大系iOS取证分析> 基本信息 作者: (美)莫里西(Morrissey,S.) [作译者介绍] 译者: 郭永健 韩晟 钟琳 出版社:电子工业出版社 ISBN:978712117 ...
- mba案例分析_2020年(第八届)MBA企业案例分析实践课程暨大赛完美收官!
点击蓝字关注我们 9月12日中午,历经4个多小时的总决赛(复赛)鏖战,2020年(第八届)MBA企业案例分析实践课程总决赛圆满落幕,比赛共决出一等奖1名,二等奖2名,三等奖3名,优胜奖2名,以及网络人 ...
- DEFCON 20 CTF 磁盘取证分析题目
这是一道取证分析题目,主要考察取证分析能力,包括磁盘文件恢复.图片文件修复.数据分析.图片隐写信息提取等. 本次实验题目地址:<DEFCON 20 CTF Quals Forensic 200& ...
- RWEQ模型土壤风蚀模数估算及其变化归因分析实践技术
点击查看原文>>>基于RWEQ模型的土壤风蚀模数估算及其变化归因分析实践技术 土壤风蚀是一个全球性的环境问题.中国是世界上受土壤风蚀危害最严重的国家之一,土壤风蚀是中国干旱.半干旱及 ...
- 【案例教程】基于RWEQ模型的土壤风蚀模数估算及其变化归因分析实践技术
土壤风蚀是一个全球性的环境问题.中国是世界上受土壤风蚀危害最严重的国家之一,土壤风蚀是中国干旱.半干旱及部分湿润地区土地荒漠化的首要过程.中国风蚀荒漠化面积达160.74×104km2,占国土总面积的 ...
- 使用EventLog Analyzer进行日志取证分析
一.构建犯罪现场以寻找安全漏洞的根源 大多数情况下,公司无法追查发起网络违规的网络入侵者.尽管采取了最好的预防措施来防止发生攻击,但不可能保护您的网络免受任何攻击.所有的攻击者都会留下痕迹,并且您的事 ...
最新文章
- Presto实现原理和美团的使用实践
- 数字语音信号处理学习笔记——语音信号的同态处理(4)
- 用私有构造器或者枚举类型强化Singleton 属性
- sklearn 主成分分析法 PCA和IPCA
- 表格计算机备份在哪里找,#excle备份在哪#EXCEL里备份文件在哪里找?
- 第三十五期:AI核心难点之一:情感分析的常见类型与挑战
- Android笔记 fragment入门 动态加载fragment demo+ 判断横竖屏
- python3 turtle 在哪下载安装_Python3 turtle安装和使用教程
- 学习OpenStack之(6):Neutron 深入学习之 OVS + GRE 之 Compute node 篇
- 新手必读:PhoneGap入门六大问题
- no ip domain-lookup 是什么意思?
- 汽车CAN总线思维导图
- Bugly使用及APP版本更新
- 2022建筑架子工(建筑特殊工种)考试练习题及在线模拟考试
- 黑产用“未来武器”破解验证码
- 向量的数量函数的导数
- [技巧]Ubuntu与Windows10局域网共享文件夹
- 七夕节 看到许多停止更新的blog 莫名有点淡淡的忧桑
- 【树状数组】清点人数
- 360doc 个人图书馆地址