取证分析实践之Autopsy

Autopsy Forensic Browser 是数字取证工具- The Sleuth Kit（TSK） 的图形界面，一个用来分析磁盘映像和恢复文件的开源取证工具。提供在磁盘映像中进行字符串提取，恢复文件，时间轴分析，chrome，firefox等浏览历史分析，关键字搜索和邮件分析等功能。

2、什么是dftt

网址： dftt.sourceforge.net/

dftt 代表 Digital Forensics Tool Testing Images 。 该网站包含用于测试数字（计算机）取证分析和采集 工具 的文件系统和磁盘镜像。

3、JPEG 搜索测试

此次测试镜像是一个 NTFS 文件系统，里面包含 10 张 JPEG 图片，图片还嵌入了 zip 和 word 等文件。我们需要从中找出图片和其他文件

4、步骤

1）下载测试镜像

2）校验测试镜像

3）配置Autopsy

4）进行取证分析

5）恢复已删除的文件

5、进行取证准备工作

1）建立测试目录

2）下载测试镜像

下载第八个： dftt.sourceforge.net/test8/index…

3）解压文件

4）校验镜像

5）配置 Autopsy

从应用程序里面启动 Autopsy

访问 http://localhost:9999/autopsy

5.1）选择创建一个新的 CASE

5.2）然后填入一些信息，比如案件名字，描述等，然后点 NEW CASE

5.3）然后选择"Add Host"，然后配置一些信息

5.4）然后点 ADD IMAGE 添加镜像

将镜像路径复制进去

粘贴路径到 Autopsy 里面，类型选 Partition (分区)，导入方式选 Symlink (链接)

点下一步，然后设置一些参数，然后点 ADD

然后点 OK

然后点击 IMAGE INTEGRITY 进行镜像完整性检查

查看 md5 校验和，应该与之前我们用 md5sum 命令查看的是一致的，然后点 CLOSE

6、使用 Autopsy 分析镜像和恢复文件

1）点击 ANALYZE 按钮，进行分析

2）查看镜像详情

文件系统类型是 NTFS ，还有卷序列号，此序列号应该与原磁盘上的一致，这一点在法庭证据链上非常重要，以证明你分析的镜像副本的卷序列号与原始磁盘是一致的。

系统类型是 windows xp

3）使用 Autopsy 查看文件分析详细情况

3.1）查看所有已删除的文件，点击左下角的 All Deleted Files

可以看到有两个被删除的文件，其中一个是 jpg 文件： file6.jpg ，还有个后缀名 hmm 的 file7 是什么呢？

3.2）点击 file6.jpg ，可以看到 File Type 为 JPEG image data ，然后导出文件

将文件保存到 /var/forensics/images 目录

3.3）添加一条记录，点右下角的 Add Note

输入你的名字，日期，和一些其他的信息，然后点 OK

可以查看记录

3.4）查看已删除文件 file7.hmm

点击 左下角的 ALL DELETED FILES ，然后点击 file7.hmm

Autopsy 分析出来是 JPEG 文件，同样选择 Export 导出保存到 /var/forensics/images 目录

然后点 Add Note 添加一条记录

3.5）再次对镜像进行 md5 校验

然后点击 VALIDATE ，与原始的进行比较

这样做的目的是证明你在取证过程中没有破坏和修改过镜像，如果被破坏和修改，在法律上，这个证据将会变得无效。

7、完成取证

1）关闭 FILE SYSTEM IMAGES

2）查看取证日志

:point_down:戳下方链接即可在线体验取证工具 Autopsy 的使用

数字取证之Autopsy

8、说明

本文由合天网安实验室原创，转载请注明来源。

关于合天网安实验室

合天网安实验室（www.hetianlab.com）-国内领先的实操型网络安全在线教育平台

真实环境，在线实操学网络安全 ； 实验内容涵盖：系统安全，软件安全，网络安全，Web安全，移动安全，CTF，取证分析，渗透测试，网安意识教育等。