【Autopsy数字取证篇】Autopsy案例创建与镜像分析详细教程

news2024/11/15 23:39:18

【Autopsy数字取证篇】Autopsy案例创建与镜像分析详细教程

Autopsy是一款非常优秀且功能强大的免费开源数字取证分析工具。—【蘇小沐】

文章目录

    • 【Autopsy数字取证篇】Autopsy案例创建与镜像分析详细教程
      • 1.实验环境
      • 2.Autopsy下载安装
    • (一)创建案例
      • 1.软件启动界面
      • 2.案件信息(必填)
      • 3.可选信息(选填)
    • (二)添加数据源
      • 1.选择数据源类型
      • 2.收录模块
      • 3.数据分析完成
      • 4.其他分析接口
    • (三)生成报告
    • 总结
      • 参考资料

1.实验环境

以本地E01镜像做实验测试。

系统版本
Windows 11 专业工作站版22H2(22621.819)
Autopsy4.19.3
测试镜像格式E01格式

2.Autopsy下载安装

【Autopsy数字取证篇】Autopsy数字取证软件的下载安装与优化配置—蘇小沐

(一)创建案例

要创建案例,请使用欢迎屏幕上的"创建新案例"选项或"案例"菜单中的选项。这将启动新建案例向导。您需要为其提供案例的名称和用于存储案例结果的目录。您可以选择提供案例编号和审阅者姓名。

1.软件启动界面

软件启动界面如下,选择"新建案件"。
在这里插入图片描述

2.案件信息(必填)

将案件名和存储路径填好后,方可进入下一步操作。
在这里插入图片描述

3.可选信息(选填)

选填项可不填写,如果是正式案件,建议填写好,以便记录与回溯。
在这里插入图片描述

(二)添加数据源

创建案例后,添加数据源向导将自动启动,或者您可以从"案例"菜单或工具栏手动启动它。您需要选择要添加的输入数据源的类型(映像、本地磁盘或逻辑文件和文件夹)。
无特殊要求,默认即可。
在这里插入图片描述

1.选择数据源类型

数据源类型支持:磁盘镜像或虚拟机文件、本地磁盘、逻辑文件、未分配空间映像文件、Autopsy逻辑成像仪结果、XRY文本导出。

英文中文备注
Disk Image or VM File磁盘镜像或虚拟机文件对于磁盘映像,Autopsy目前支持 E01 和原始 (dd) 文件。
Local Disk本地磁盘对于"本地磁盘",请选择检测到的磁盘之一。Autopsy会将磁盘的当前视图添加到案例中(即元数据的快照)。但是,单个文件内容(不是元数据)确实会随着对磁盘所做的更改而更新。可以选择创建从本地磁盘读取的所有数据到 VHD 文件的副本,这对于会审情况非常有用。请注意,您可能需要以管理员身份运行 Autopsy 才能检测所有磁盘。
Logical Files逻辑文件对于逻辑文件(单个文件或文件文件夹),请使用"添加"按钮将系统上的一个或多个文件或文件夹添加到机箱中。文件夹将以递归方式添加到案例中。
Unallocated Space Image File未分配空间映像文件/
Autopsy Logical Imager ResultsAutopsy逻辑成像仪结果/
XRY Text ExportXRY文本导出/

此处以E01镜像为例,选择第一个"磁盘镜像或虚拟机文件",点击下一步。
在这里插入图片描述

接下来,为其提供要添加的源的位置。(时间区间选择,如果有时区的要求,需要注意转换,也可以分析完后再更改,不过建议开始就选择好)
在这里插入图片描述

2.收录模块

引入模块负责分析数据源内容,并将在后台运行。收录模块按优先级顺序分析文件,以便先分析用户目录中的文件,然后再分析其他文件夹中的文件。采集模块可由第三方开发。
在这里插入图片描述

Autopsy中包含的标准采集模块包括:

标准采集模块说明
最近活动模块(recent_activity)取由 Web 浏览器和操作系统保存的用户活动。还在注册表配置单元上运行 Regripper。
查找模块使用哈希(hash_db)哈希查找模块使用哈希集忽略 NIST NSRL 中的已知文件并标记已知的错误文件。使用"高级"按钮添加和配置在此过程中要使用的哈希集。在发生摄取时,您将获得有关已知错误文件命中的更新。稍后可以通过主 UI 中的"工具"->"选项"菜单添加哈希集。您可以从http://sourceforge.net/projects/autopsy/files/NSRL/ 下载 NIST NSRL 的索引
文件类型识别模块根据(file_type_identification)文件类型识别模块根据签名确定文件类型,并根据MIME类型报告它们。它将结果存储在黑板中,许多模块都依赖于此。它使用Tika开源库。您可以在工具、选项、文件类型中定义自己的自定义文件类型。
扩展名不匹配检测器模块(extension_mismatch_detector)扩展名不匹配检测器模块使用文件类型识别的结果,并标记扩展名传统上与文件检测到的类型无关的文件。忽略"已知"(NSRL) 文件。您可以在工具、选项、文件扩展名不匹配中自定义每个 MIME 类型的 MIME 类型和文件扩展名。
嵌入式文件提取模块(embedded_file_extractor)嵌入式文件提取模块打开 ZIP、RAR 和其他存档格式、文档、文档、文档、PPT、PPTX、XLS 和 XLSX,并通过摄取管道将这些文件中的派生文件发送回进行分析。
图片分析器模块(exif_parser)图片分析器模块从 JPEG 文件中提取 EXIF 信息,并将结果发布到主 UI 中的树中。还将HEIC / HEIF文件转换为JPEG格式,并从这些JPEG中提取EXIF数据。
关键字搜索模块使用关键字(keyword_search)列表关键字搜索模块使用关键字列表来识别包含特定单词的文件。您可以选择要自动搜索的关键字列表,也可以使用"高级"按钮创建新列表。请注意,使用关键字搜索,您始终可以在收录完成后进行搜索。您将定期搜索您在摄取期间选择的关键字列表,并且您将实时获得结果。在执行关键字搜索之前,您无需等待所有文件都编制索引,但是在执行搜索时,您只会从已编制索引的文件中获得结果。
电子邮件解析器模块(email_parser)电子邮件解析器模块根据文件签名识别 Thunderbird MBOX 文件和 PST 格式文件,从中提取电子邮件,将结果添加到 Blackboard。
加密检测模块查找加密(encryption)加密检测模块查找加密文件。
有趣的文件标识符模块(interesting_files_identifier)有趣的文件标识符模块根据用户在工具、选项、感兴趣的文件中指定的规则搜索文件和目录。它用作"文件警报模块"。找到指定的文件时,它会在收件箱中生成邮件。
中央存储库(central_repo#cr_ingest_module)中央存储库模块将文件哈希和其他提取的属性添加到中央存储库中,以便将来进行关联并标记以前值得注意的文件。
PhotoRec Carver(photorec_carver)PhotoRec Carver模块从未分配的空间中雕刻文件,并通过文件处理链发送它们。
虚拟机提取器模块从虚拟机(vm_extractor)文虚拟机提取器模块从虚拟机文件中提取数据
数据源完整性模块(data_source_integrity)数据源完整性模块计算 E01 文件的校验和,并与 E01 文件的内部校验和进行比较,以确保它们匹配。
DJI 无人机分析(drone)DJI 无人机分析器从无人机文件中提取数据。
Plaso 使用 Plaso(plaso)创建时间线事件。Plaso 使用 Plaso创建时间线事件。
Android Analyzer Module(android_analyzer)Android Analyzer Module允许您解析来自 Android 设备的常见项目。将工件放入黑板。
GPX 分析器(gpx)GPX 分析器从.gpx文件中提取地理位置数据。
iOS Analyzer (iLEAPP) 从 iOS(ileapp)iOS Analyzer (iLEAPP) 从 iOS 数据源中提取数据。

引入模块开始分析数据源后,您将看到主分析界面。您可以选择搜索特定项目、浏览到特定文件夹或查看摄取模块结果。
在这里插入图片描述

还可以自定义展示数据,更改时区等(自行摸索,此处不做展开)。
在这里插入图片描述

3.数据分析完成

数据分析过程中,可以从左侧的树看到已分析的结果。最上面的是"数据源根节点",点开可显示磁盘映像或本地磁盘的文件系统结构,包含案例中的所有数据。

左侧的树和右侧的表具有UI 快速搜索功能,可用于快速查找可见节点;如果要搜索单个关键字,则可以使用程序右上角的搜索框。结果将显示在右上角的表格中。当从左侧的树中选择一个节点时,文件列表将显示在右上角。可以使用右上角的缩略图视图查看图片。从右上角选择文件时,其内容将显示在右下角,可以使用右下角的选项卡查看文件、图像或十六进制数据的文本。

如果要从"视图"和"结果"节点查看文件,则可以右键单击文件以转到其文件系统位置。此功能可用于查看用户与您当前正在查看的文件存储在同一文件夹中的其他内容。或者右键单击文件以将其解压缩到本地系统。

还可以标记(书签)任意文件,以便以后可以更快地找到它们,或者可以将它们专门包含在报表中。
在这里插入图片描述

4.其他分析接口

除了左侧带有树的面板 UI 之外,还有其他更专业的界面。

模块说明
时间轴时间线功能可以从"工具"菜单或工具栏或通过"时间轴"按钮打开。这将显示使用各种显示技术按时间组织的文件系统和其他事件。
图片库图像库侧重于显示按文件夹组织的数据源中的图片和视频。一旦文件经过哈希处理并提取EXIF数据,它就会向您显示文件。您可以从"工具"菜单或通过"图片库"按钮打开它。
通信通信界面侧重于显示与哪些帐户通信最多以及发送了哪些消息。它使您可以专注于特定日期范围内的某些关系或通信。您可以从"工具"菜单或通过"通信"按钮打开它。
地理位置"地理位置"面板显示一张地图,其中包含案例中找到的所有地理位置结果的标记。您可以从"工具"菜单或通过"地理位置"按钮打开它。
发现"发现"面板允许您在案例中搜索不同类型的数据,并以易于查看的形式显示这些数据。您可以从"工具"菜单或通过"发现"按钮打开它。
角色"角色"面板用于创建和管理角色。通过创建角色,您可以将一个或多个帐户与名称和其他数据相关联。您可以从"工具"菜单或通过"角色"按钮打开它。
网络工件如果要查看用户最近的 Web 活动,请确保已启用"最近活动引入"模块。然后,您可以转到左侧树中的"结果"节点,然后转到"提取的数据"节点。在那里,您可以找到书签、cookie、下载和历史记录。
已知错误的哈希文件如果要查看数据源是否具有已知的错误文件,请确保已启用哈希查找引入模块。然后,您可以在左侧树的"结果"区域中查看"哈希集命中"部分。请注意,哈希查找可能需要很长时间,因此只要摄取过程正在进行,就会更新此部分。使用"收录收件箱"跟踪最近发现的已知错误文件。当您在此界面中找到已知的坏文件时,您可能希望右键单击该文件以查看文件的原始位置。您可能会找到与此文件相关并存储在同一文件夹中的其他文件。
媒体:图片和视频如果您想查看磁盘映像上的所有图像和视频,请转到左侧树中的"视图"部分,然后转到"文件类型"。选择"图像"或"视频"。您可以使用右上角的缩略图选项查看所有图像的缩略图。您可以从右上角选择图像或视频,并在右下角查看视频或图像。视频将以声音播放。

(三)生成报告

可以使用"生成报告"工具栏按钮生成包含所有分析结果的最终报告。报告可以以 HTML、XLS、KML 和其他格式生成。

稍后,您可以通过转到树并打开底部的"报告"节点来找到生成的报告。
在这里插入图片描述

选择要包括的数据源。
在这里插入图片描述

可以自定义导出报告的结果,这在特定的案件类型或需要特定的数据报告中特别有用。

英文中文
All Results所有的结果
All Tagged Results所有标记结果
Specific Tagged Results特定标记结果

在这里插入图片描述

导出路径:默认在案件存储路径下。
在这里插入图片描述

导出的报告显示如下,不仅记录有报告生成时间,还有软件及各个模块的详细版本号,分析结果等,应用尽有,非常翔实。
在这里插入图片描述

总结

以上就是Autopsy创建案件及加载镜像文件简要分析的教程,其中Autopsy具有非常多优秀的功能,很多模块如图像分析、邮件分析等都可以独立窗口展示,非常方便查看,记录信息也是非常详细,很值得去体验尝试。

书写片面,纯粹做个记录,有错漏之处欢迎批评指正!觉得对您有所帮助,可以点赞收藏!

著作所有权归作者 蘇小沐 所有,转载请注明文章出处

参考资料

[1] Autopsy - Basis Technology

名称时间
开始编辑日期2022 年 12 月 03 日
最后编辑日期2022 年 12 月 04 日

在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/61410.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

【简单易操作】图漾TM460-E2深度网络相机在ROS-melodic环境下的配置过程

目录一、配置的环境二、下载内容及链接三、ubuntu环境配置下载 Camport3 SDK安装依赖编译运行四、安装OpenNI2套件下载 Camport3 OpenNI2 SDK安装 Camport3 OpenNI2 SDK五、ROS平台安装下载 Camport3 ROS SDK编译配置环境变量运行一、配置的环境 相机型号:TM460-E2…

OpenRASP agent源码分析

目录 前言 准备 源码分析 1. manifest 2. agent分析 3. agent卸载逻辑 总结 前言 笔者在很早前写了(231条消息) OpenRASP Java应用自我保护使用_fenglllle的博客-CSDN博客 实际上很多商业版的rasp工具都是基于OpenRASP的灵感来的,主要就是对核心的Java类通过…

堆(二叉堆)-优先队列-数据结构和算法(Java)

文章目录1 概述1.1 定义1.2 二叉堆表示法2 API3 堆相关算法3.1 上浮(由下至上的堆有序化)3.2 下沉(由上至下的堆有序化)3.3 插入元素3.4 删除最大元素4 实现5 性能和分析5.1 调整数组的大小5.2 元素的不可变性6 简单测试6 后记1 概…

2006-2020年全国31省人口老龄化水平

2006-2020年全国31省人口老龄化 1、时间为2006-2020年 2、来源:人口与就业年鉴 3、数据缺失情况说明: 其中2010年存在缺失,采用线性插值法进行填补,内含原始数据、线性插值 4、计算说明:以城镇地区老年抚养比衡量…

uImage的制作过程详解

1、uImage镜像介绍 参考博客:《vmlinuz/vmlinux、Image、zImage与uImage的区别》; 2、uImage镜像的制作 2.1、mkimage工具介绍 参考博客:《uImage的制作工具mkimage详解(源码编译、使用方法、添加的头解析、uImage的制作)》; 2.2…

软路由搭建:工控机(3865U)安装esxi并在esxi上创建iStoreOS做主路由(网卡直通)

一、硬件介绍 1、工控机(3865U) CPU:3865U 内存:8G 硬盘:120G 网卡:六口网卡 2、无线路由器(荣耀路由器pro2) 3、主机 下载资料、制作启动盘、系统设置 4、U盘 至少8G以上 …

ConcurrentHashMap 1.7与1.8的区别

ConcurrentHashMap 与HashMap和Hashtable 最大的不同在于:put和 get 两次Hash到达指定的HashEntry,第一次hash到达Segment,第二次到达Segment里面的Entry,然后在遍历entry链表 从1.7到1.8版本,由于HashEntry从链表 变成了红黑树所以 concurr…

Python Gui之tkinter(下)

6.Radiobutton单按按钮 Radiobutton控件用于选择同一组单选按钮中的一个。Radiobutton可以显示文本,也可以显示图像。 7.Checkbutton复选按钮 Checkbutton控件用于选择多个按钮的情况。Checkbutton可以显示文本,也可以显示图像。 经典的Gui类的写法&a…

关于liunx 宝塔运行php项目

文章目录前言一、申请liunx服务器安装宝塔环境二、安装php看你自己安装需要的版本三.php文件创建四.数据库创建五.访问项目就可以了前言 自己研究学习,大佬勿喷 一、申请liunx服务器安装宝塔环境 我是线上安装的都一样看个人习惯爱好吧 等待安装完成提示地址和账…

Java基础—重新抛出异常

重新抛出异常 在catch块内处理完后,可以重新抛出异常,异常可以是原来的,也可以是新建的,如下所示: try{ //可能触发异常的代码 }catch(NumberFormatException e){ System.out.println("not valid numbe…

电子印章结构以及规范讲解

前言 为了确保电子印章的完整性、不可伪造性,以及合法用户才能使用,需要定义一个安全的电子印章数据格式,通过数字签名,将印章图像数据与签章者等印章属性进行安全绑定,形成安全电子印章 电子印章:一种由…

MVVM与Vue响应式的实现

Vue的响应式实现原理 MVVM M:模型 》data中的数据 V:视图 》模板 VM:视图模型 》Vue实例对象 ViewModel是一个中间的桥梁将视图View与模型Model连接起来,ViewModel内部通过数据绑定,实现数据变化,视图发…

链接装载(一)虚拟地址与物理地址

文章目录一、基本概念二、一个基本问题三、程序的执行四、从堆中分配的数据的逻辑地址一、基本概念 当我们写出一个程序,即便是最基本的 Hello World,都需要经过 预处理、编译、汇编、链接才能生成最终的可执行文件。 预处理: 预处理过程主…

spring ioc的循环依赖问题

spring ioc的循环依赖问题什么是循环依赖spring中循环依赖的场景通过构造函数注入时的循环依赖通过setter或Autowired注入时的循环依赖循环依赖的处理机制原型bean循环依赖单例bean通过构造函数注入循环依赖单例bean通过setter或者Autowired注入的循环依赖三级缓存对象的创建分…

Metasploit 操作及内网 Pivot图文教程

目录 一、metasploit 简介 二、 基本使用 三、 使用 encoders 四、pivot 技术 一、metasploit 简介 Metasploit 是一款开源的安全漏洞检测工具,集成了丰富的渗透测试工具,深受安 全工作者喜爱。官方网站:www.metasploit.com 本案例将以图…

OS-调度

调度 多个程序在并发的情况下执行,最大化CPU利用率,同时要保证一定的公平性 调度的时机 五种情况: Running -> Waiting:例如等待I/ORunning -> Ready: interupt,计时器到时间了Running -> TerminatedWait…

我把Idea给改了,看看有没有你常用的功能,没有,你告诉我,我来改

改造的目标 时隔2个多月的研发,11月25日,终于把Idea插件BG-BOOM的1.1.0版本搞上线了,本次更新勇哥也是百忙之中挤时间,加班加点开发为粉丝,目的也主要是帮助大家提升开发效率,有更多摸鱼和内卷时间&#x…

[附源码]Python计算机毕业设计SSM晋中学院教室管理系统(程序+LW)

项目运行 环境配置: Jdk1.8 Tomcat7.0 Mysql HBuilderX(Webstorm也行) Eclispe(IntelliJ IDEA,Eclispe,MyEclispe,Sts都支持)。 项目技术: SSM mybatis Maven Vue 等等组成,B/S模式 M…

QT中怎么设置定时器/周期任务/定时触发任务

Qt中定时器的使用有两种方法,一种是使用QObject类提供的定时器,还有一种就是使用QTimer类。 其精确度一般依赖于操作系统和硬件,但一般支持20ms。下面将分别介绍两种方法来使用定时器。 QObject类提供的定时器 QObject中的定时器的使用&am…

Makefile 详解

文章目录1.什么是Makefile2.Makefile文件命名规则3.编写Makefile4.Makefile 的工作原理5.Makefile中的变量6.模式匹配7.函数1.什么是Makefile 一个工程中的源文件不计其数,按期类型、功能、模块分别放在若干个文件中,MakeFile文件定义了一系列的规则来制…