大家好,今天小编来为大家解答以下的问题,关于autopsy是什么意思,取证分析实践之Autopsy这个很多人还不知道,现在让我们一起来看看吧!
0X01什么是Autopsy
AutopsyForensicBrowser是数字取证工具-TheSleuthKit(TSK)的图形界面,一个用来分析磁盘映像和恢复文件的开源取证工具。提供在磁盘映像中进行字符串提取,恢复文件,时间轴分析,chrome,firefox等浏览历史分析,关键字搜索和邮件分析等功能。
0X02什么是dftt
网址:http://dftt.sourceforge.net/
dftt代表DigitalForensicsToolTestingImages。该网站包含用于测试数字(计算机)取证分析和采集工具的文件系统和磁盘镜像。
0X03JPEG搜索测试
此次测试镜像是一个NTFS文件系统,里面包含10张JPEG图片,图片还嵌入了zip和word等文件。我们需要从中找出图片和其他文件
0X05进行取证准备工作
1)建立测试目录
2)下载测试镜像
下载第八个:http://dftt.sourceforge.net/test8/index.html
5)配置Autopsy
访问http://localhost:9999/autopsy
5.2)然后填入一些信息,比如案件名字,描述等,然后点NEWCASE
5.3)然后选择"AddHost",然后配置一些信息
粘贴路径到Autopsy里面,类型选Partition(分区),导入方式选Symlink(链接)
点下一步,然后设置一些参数,然后点ADD
然后点击IMAGEINTEGRITY进行镜像完整性检查
查看md5校验和,应该与之前我们用md5sum命令查看的是一致的,然后点CLOSE
0X06使用Autopsy分析镜像和恢复文件
1)点击ANALYZE按钮,进行分析
2)查看镜像详情
文件系统类型是NTFS,还有卷序列号,此序列号应该与原磁盘上的一致,这一点在法庭证据链上非常重要,以证明你分析的镜像副本的卷序列号与原始磁盘是一致的。
3)使用Autopsy查看文件分析详细情况
3.1)查看所有已删除的文件,点击左下角的AllDeletedFiles
可以看到有两个被删除的文件,其中一个是jpg文件:file6.jpg,还有个后缀名hmm的file7是什么呢?
3.2)点击file6.jpg,可以看到FileType为JPEGimagedata,然后导出文件
将文件保存到/var/forensics/images目录
3.3)添加一条记录,点右下角的AddNote
输入你的名字,日期,和一些其他的信息,然后点OK
点击左下角的ALLDELETEDFILES,然后点击file7.hmm
Autopsy分析出来是JPEG文件,同样选择Export导出保存到/var/forensics/images目录
然后点击VALIDATE,与原始的进行比较
这样做的目的是证明你在取证过程中没有破坏和修改过镜像,如果被破坏和修改,在法律上,这个证据将会变得无效。
本文为合天原创,未经允许,严禁转载。
关于autopsy是什么意思到此分享完毕,希望能帮助到您。