【Autopsy数字取证篇】Autopsy案例创建与镜像分析详细教程
Autopsy是一款非常优秀且功能强大的免费开源数字取证分析工具。—【蘇小沐】
文章目录
- 【Autopsy数字取证篇】Autopsy案例创建与镜像分析详细教程
- 1.实验环境
- 2.Autopsy下载安装
- (一)创建案例
- 1.软件启动界面
- 2.案件信息(必填)
- 3.可选信息(选填)
- (二)添加数据源
- 1.选择数据源类型
- 2.收录模块
- 3.数据分析完成
- 4.其他分析接口
- (三)生成报告
- 总结
- 参考资料
1.实验环境
以本地E01镜像做实验测试。
系统 | 版本 |
---|---|
Windows 11 专业工作站版 | 22H2(22621.819) |
Autopsy | 4.19.3 |
测试镜像格式 | E01格式 |
2.Autopsy下载安装
【Autopsy数字取证篇】Autopsy数字取证软件的下载安装与优化配置—蘇小沐
(一)创建案例
要创建案例,请使用欢迎屏幕上的"创建新案例"选项或"案例"菜单中的选项。这将启动新建案例向导。您需要为其提供案例的名称和用于存储案例结果的目录。您可以选择提供案例编号和审阅者姓名。
1.软件启动界面
软件启动界面如下,选择"新建案件"。
2.案件信息(必填)
将案件名和存储路径填好后,方可进入下一步操作。
3.可选信息(选填)
选填项可不填写,如果是正式案件,建议填写好,以便记录与回溯。
(二)添加数据源
创建案例后,添加数据源向导将自动启动,或者您可以从"案例"菜单或工具栏手动启动它。您需要选择要添加的输入数据源的类型(映像、本地磁盘或逻辑文件和文件夹)。
无特殊要求,默认即可。
1.选择数据源类型
数据源类型支持:磁盘镜像或虚拟机文件、本地磁盘、逻辑文件、未分配空间映像文件、Autopsy逻辑成像仪结果、XRY文本导出。
英文 | 中文 | 备注 |
---|---|---|
Disk Image or VM File | 磁盘镜像或虚拟机文件 | 对于磁盘映像,Autopsy目前支持 E01 和原始 (dd) 文件。 |
Local Disk | 本地磁盘 | 对于"本地磁盘",请选择检测到的磁盘之一。Autopsy会将磁盘的当前视图添加到案例中(即元数据的快照)。但是,单个文件内容(不是元数据)确实会随着对磁盘所做的更改而更新。可以选择创建从本地磁盘读取的所有数据到 VHD 文件的副本,这对于会审情况非常有用。请注意,您可能需要以管理员身份运行 Autopsy 才能检测所有磁盘。 |
Logical Files | 逻辑文件 | 对于逻辑文件(单个文件或文件文件夹),请使用"添加"按钮将系统上的一个或多个文件或文件夹添加到机箱中。文件夹将以递归方式添加到案例中。 |
Unallocated Space Image File | 未分配空间映像文件 | / |
Autopsy Logical Imager Results | Autopsy逻辑成像仪结果 | / |
XRY Text Export | XRY文本导出 | / |
此处以E01镜像为例,选择第一个"磁盘镜像或虚拟机文件",点击下一步。
接下来,为其提供要添加的源的位置。(时间区间选择,如果有时区的要求,需要注意转换,也可以分析完后再更改,不过建议开始就选择好)
2.收录模块
引入模块负责分析数据源内容,并将在后台运行。收录模块按优先级顺序分析文件,以便先分析用户目录中的文件,然后再分析其他文件夹中的文件。采集模块可由第三方开发。
Autopsy中包含的标准采集模块包括:
标准采集模块 | 说明 |
---|---|
最近活动模块(recent_activity) | 取由 Web 浏览器和操作系统保存的用户活动。还在注册表配置单元上运行 Regripper。 |
查找模块使用哈希(hash_db) | 哈希查找模块使用哈希集忽略 NIST NSRL 中的已知文件并标记已知的错误文件。使用"高级"按钮添加和配置在此过程中要使用的哈希集。在发生摄取时,您将获得有关已知错误文件命中的更新。稍后可以通过主 UI 中的"工具"->"选项"菜单添加哈希集。您可以从http://sourceforge.net/projects/autopsy/files/NSRL/ 下载 NIST NSRL 的索引 |
文件类型识别模块根据(file_type_identification) | 文件类型识别模块根据签名确定文件类型,并根据MIME类型报告它们。它将结果存储在黑板中,许多模块都依赖于此。它使用Tika开源库。您可以在工具、选项、文件类型中定义自己的自定义文件类型。 |
扩展名不匹配检测器模块(extension_mismatch_detector) | 扩展名不匹配检测器模块使用文件类型识别的结果,并标记扩展名传统上与文件检测到的类型无关的文件。忽略"已知"(NSRL) 文件。您可以在工具、选项、文件扩展名不匹配中自定义每个 MIME 类型的 MIME 类型和文件扩展名。 |
嵌入式文件提取模块(embedded_file_extractor) | 嵌入式文件提取模块打开 ZIP、RAR 和其他存档格式、文档、文档、文档、PPT、PPTX、XLS 和 XLSX,并通过摄取管道将这些文件中的派生文件发送回进行分析。 |
图片分析器模块(exif_parser) | 图片分析器模块从 JPEG 文件中提取 EXIF 信息,并将结果发布到主 UI 中的树中。还将HEIC / HEIF文件转换为JPEG格式,并从这些JPEG中提取EXIF数据。 |
关键字搜索模块使用关键字(keyword_search)列表 | 关键字搜索模块使用关键字列表来识别包含特定单词的文件。您可以选择要自动搜索的关键字列表,也可以使用"高级"按钮创建新列表。请注意,使用关键字搜索,您始终可以在收录完成后进行搜索。您将定期搜索您在摄取期间选择的关键字列表,并且您将实时获得结果。在执行关键字搜索之前,您无需等待所有文件都编制索引,但是在执行搜索时,您只会从已编制索引的文件中获得结果。 |
电子邮件解析器模块(email_parser) | 电子邮件解析器模块根据文件签名识别 Thunderbird MBOX 文件和 PST 格式文件,从中提取电子邮件,将结果添加到 Blackboard。 |
加密检测模块查找加密(encryption) | 加密检测模块查找加密文件。 |
有趣的文件标识符模块(interesting_files_identifier) | 有趣的文件标识符模块根据用户在工具、选项、感兴趣的文件中指定的规则搜索文件和目录。它用作"文件警报模块"。找到指定的文件时,它会在收件箱中生成邮件。 |
中央存储库(central_repo#cr_ingest_module) | 中央存储库模块将文件哈希和其他提取的属性添加到中央存储库中,以便将来进行关联并标记以前值得注意的文件。 |
PhotoRec Carver(photorec_carver) | PhotoRec Carver模块从未分配的空间中雕刻文件,并通过文件处理链发送它们。 |
虚拟机提取器模块从虚拟机(vm_extractor)文 | 虚拟机提取器模块从虚拟机文件中提取数据 |
数据源完整性模块(data_source_integrity) | 数据源完整性模块计算 E01 文件的校验和,并与 E01 文件的内部校验和进行比较,以确保它们匹配。 |
DJI 无人机分析(drone) | DJI 无人机分析器从无人机文件中提取数据。 |
Plaso 使用 Plaso(plaso)创建时间线事件。 | Plaso 使用 Plaso创建时间线事件。 |
Android Analyzer Module(android_analyzer) | Android Analyzer Module允许您解析来自 Android 设备的常见项目。将工件放入黑板。 |
GPX 分析器(gpx) | GPX 分析器从.gpx文件中提取地理位置数据。 |
iOS Analyzer (iLEAPP) 从 iOS(ileapp) | iOS Analyzer (iLEAPP) 从 iOS 数据源中提取数据。 |
引入模块开始分析数据源后,您将看到主分析界面。您可以选择搜索特定项目、浏览到特定文件夹或查看摄取模块结果。
还可以自定义展示数据,更改时区等(自行摸索,此处不做展开)。
3.数据分析完成
数据分析过程中,可以从左侧的树看到已分析的结果。最上面的是"数据源根节点",点开可显示磁盘映像或本地磁盘的文件系统结构,包含案例中的所有数据。
左侧的树和右侧的表具有UI 快速搜索功能,可用于快速查找可见节点;如果要搜索单个关键字,则可以使用程序右上角的搜索框。结果将显示在右上角的表格中。当从左侧的树中选择一个节点时,文件列表将显示在右上角。可以使用右上角的缩略图视图查看图片。从右上角选择文件时,其内容将显示在右下角,可以使用右下角的选项卡查看文件、图像或十六进制数据的文本。
如果要从"视图"和"结果"节点查看文件,则可以右键单击文件以转到其文件系统位置。此功能可用于查看用户与您当前正在查看的文件存储在同一文件夹中的其他内容。或者右键单击文件以将其解压缩到本地系统。
还可以标记(书签)任意文件,以便以后可以更快地找到它们,或者可以将它们专门包含在报表中。
4.其他分析接口
除了左侧带有树的面板 UI 之外,还有其他更专业的界面。
模块 | 说明 |
---|---|
时间轴 | 时间线功能可以从"工具"菜单或工具栏或通过"时间轴"按钮打开。这将显示使用各种显示技术按时间组织的文件系统和其他事件。 |
图片库 | 图像库侧重于显示按文件夹组织的数据源中的图片和视频。一旦文件经过哈希处理并提取EXIF数据,它就会向您显示文件。您可以从"工具"菜单或通过"图片库"按钮打开它。 |
通信 | 通信界面侧重于显示与哪些帐户通信最多以及发送了哪些消息。它使您可以专注于特定日期范围内的某些关系或通信。您可以从"工具"菜单或通过"通信"按钮打开它。 |
地理位置 | "地理位置"面板显示一张地图,其中包含案例中找到的所有地理位置结果的标记。您可以从"工具"菜单或通过"地理位置"按钮打开它。 |
发现 | "发现"面板允许您在案例中搜索不同类型的数据,并以易于查看的形式显示这些数据。您可以从"工具"菜单或通过"发现"按钮打开它。 |
角色 | "角色"面板用于创建和管理角色。通过创建角色,您可以将一个或多个帐户与名称和其他数据相关联。您可以从"工具"菜单或通过"角色"按钮打开它。 |
网络工件 | 如果要查看用户最近的 Web 活动,请确保已启用"最近活动引入"模块。然后,您可以转到左侧树中的"结果"节点,然后转到"提取的数据"节点。在那里,您可以找到书签、cookie、下载和历史记录。 |
已知错误的哈希文件 | 如果要查看数据源是否具有已知的错误文件,请确保已启用哈希查找引入模块。然后,您可以在左侧树的"结果"区域中查看"哈希集命中"部分。请注意,哈希查找可能需要很长时间,因此只要摄取过程正在进行,就会更新此部分。使用"收录收件箱"跟踪最近发现的已知错误文件。当您在此界面中找到已知的坏文件时,您可能希望右键单击该文件以查看文件的原始位置。您可能会找到与此文件相关并存储在同一文件夹中的其他文件。 |
媒体:图片和视频 | 如果您想查看磁盘映像上的所有图像和视频,请转到左侧树中的"视图"部分,然后转到"文件类型"。选择"图像"或"视频"。您可以使用右上角的缩略图选项查看所有图像的缩略图。您可以从右上角选择图像或视频,并在右下角查看视频或图像。视频将以声音播放。 |
(三)生成报告
可以使用"生成报告"工具栏按钮生成包含所有分析结果的最终报告。报告可以以 HTML、XLS、KML 和其他格式生成。
稍后,您可以通过转到树并打开底部的"报告"节点来找到生成的报告。
选择要包括的数据源。
可以自定义导出报告的结果,这在特定的案件类型或需要特定的数据报告中特别有用。
英文 | 中文 |
---|---|
All Results | 所有的结果 |
All Tagged Results | 所有标记结果 |
Specific Tagged Results | 特定标记结果 |
导出路径:默认在案件存储路径下。
导出的报告显示如下,不仅记录有报告生成时间,还有软件及各个模块的详细版本号,分析结果等,应用尽有,非常翔实。
总结
以上就是Autopsy创建案件及加载镜像文件简要分析的教程,其中Autopsy具有非常多优秀的功能,很多模块如图像分析、邮件分析等都可以独立窗口展示,非常方便查看,记录信息也是非常详细,很值得去体验尝试。
书写片面,纯粹做个记录,有错漏之处欢迎批评指正!觉得对您有所帮助,可以点赞收藏!
【著作所有权归作者 蘇小沐 所有,转载请注明文章出处】
参考资料
[1] Autopsy - Basis Technology
名称 | 时间 |
---|---|
开始编辑日期 | 2022 年 12 月 03 日 |
最后编辑日期 | 2022 年 12 月 04 日 |