取证分析实践之Autopsy | 您所在的位置:网站首页 › autopsy进行数字取证 › 取证分析实践之Autopsy |
原创: 合天网安实验室 合天智汇 0X01 什么是Autopsy AutopsyForensic Browser是数字取证工具-TheSleuthKit(TSK)的图形界面,一个用来分析磁盘映像和恢复文件的开源取证工具。提供在磁盘映像中进行字符串提取,恢复文件,时间轴分析,chrome,firefox等浏览历史分析,关键字搜索和邮件分析等功能。 0X02 什么是dftt 网址:http://dftt.sourceforge.net/ dftt代表DigitalForensics Tool Testing Images。该网站包含用于测试数字(计算机)取证分析和采集工具的文件系统和磁盘镜像。 0X03 JPEG搜索测试 此次测试镜像是一个NTFS文件系统,里面包含10张JPEG图片,图片还嵌入了zip和word等文件。我们需要从中找出图片和其他文件 0X04 步骤 1)下载测试镜像 2)校验测试镜像 3)配置Autopsy 4)进行取证分析 5)恢复已删除的文件 0X05 进行取证准备工作 1)建立测试目录
3)解压文件
5)配置Autopsy 从应用程序里面启动Autopsy
0X06 使用Autopsy分析镜像和恢复文件 1)点击ANALYZE按钮,进行分析 2)查看镜像详情 文件系统类型是NTFS,还有卷序列号,此序列号应该与原磁盘上的一致,这一点在法庭证据链上非常重要,以证明你分析的镜像副本的卷序列号与原始磁盘是一致的。 系统类型是windowsxp 3)使用Autopsy查看文件分析详细情况
3.3)添加一条记录,点右下角的AddNote 输入你的名字,日期,和一些其他的信息,然后点OK
3.4)查看已删除文件file7.hmm 点击左下角的 ALLDELETED FILES,然后点击file7.hmm
然后点AddNote添加一条记录
0X07 完成取证 1)关闭FILESYSTEM IMAGES
本文为合天原创,未经允许,严禁转载。 |
CopyRight 2018-2019 实验室设备网 版权所有 |