autopsy是什么意思，取证分析实践之Autopsy

大家好,今天小编来为大家解答以下的问题，关于autopsy是什么意思，取证分析实践之Autopsy这个很多人还不知道，现在让我们一起来看看吧！

0X01什么是Autopsy

AutopsyForensicBrowser是数字取证工具-TheSleuthKit（TSK）的图形界面，一个用来分析磁盘映像和恢复文件的开源取证工具。提供在磁盘映像中进行字符串提取，恢复文件，时间轴分析，chrome，firefox等浏览历史分析，关键字搜索和邮件分析等功能。

0X02什么是dftt

网址：http://dftt.sourceforge.net/

dftt代表DigitalForensicsToolTestingImages。该网站包含用于测试数字（计算机）取证分析和采集工具的文件系统和磁盘镜像。

0X03JPEG搜索测试

此次测试镜像是一个NTFS文件系统，里面包含10张JPEG图片，图片还嵌入了zip和word等文件。我们需要从中找出图片和其他文件

0X05进行取证准备工作

1）建立测试目录

2）下载测试镜像

下载第八个：http://dftt.sourceforge.net/test8/index.html

5）配置Autopsy

访问http://localhost:9999/autopsy

5.2）然后填入一些信息，比如案件名字，描述等，然后点NEWCASE

5.3）然后选择"AddHost"，然后配置一些信息

粘贴路径到Autopsy里面，类型选Partition(分区)，导入方式选Symlink(链接)

点下一步，然后设置一些参数，然后点ADD

然后点击IMAGEINTEGRITY进行镜像完整性检查

查看md5校验和，应该与之前我们用md5sum命令查看的是一致的，然后点CLOSE

0X06使用Autopsy分析镜像和恢复文件

1）点击ANALYZE按钮，进行分析

2）查看镜像详情

文件系统类型是NTFS，还有卷序列号，此序列号应该与原磁盘上的一致，这一点在法庭证据链上非常重要，以证明你分析的镜像副本的卷序列号与原始磁盘是一致的。

3）使用Autopsy查看文件分析详细情况

3.1）查看所有已删除的文件，点击左下角的AllDeletedFiles

可以看到有两个被删除的文件，其中一个是jpg文件：file6.jpg，还有个后缀名hmm的file7是什么呢？

3.2）点击file6.jpg，可以看到FileType为JPEGimagedata，然后导出文件

将文件保存到/var/forensics/images目录

3.3）添加一条记录，点右下角的AddNote

输入你的名字，日期，和一些其他的信息，然后点OK

点击左下角的ALLDELETEDFILES，然后点击file7.hmm

Autopsy分析出来是JPEG文件，同样选择Export导出保存到/var/forensics/images目录

然后点击VALIDATE，与原始的进行比较

这样做的目的是证明你在取证过程中没有破坏和修改过镜像，如果被破坏和修改，在法律上，这个证据将会变得无效。

本文为合天原创，未经允许，严禁转载。

关于autopsy是什么意思到此分享完毕，希望能帮助到您。