数字取证之Autopsy ——合天网安实验室学习笔记

实验链接

Autopsy Forensic Browser 是数字取证工具-The Sleuth Kit(TSK)的图形界面,用于对文件系统和卷进行取证。通过本实验学习文件系统取证的思想与方法,掌握Autopsy的使用。

链接:http://www.hetianlab.com/expc.do?ce=064935f9-835c-4c4c-ada2-00481bda0ae1

实验简介

实验所属系列: 数据安全

实验对象: 本科/专科信息安全专业

相关课程及专业: 网络安全

实验类别: 实践实验类

预备知识

关于Autopsy

它是首屈一指的端到端开源数字取证平台。由Basis Technology构建,具有您在商业取证工具中所期望的核心功能,Autopsy是一种快速,全面,高效的硬盘调查解决方案,可根据您的需求而发展。

实验目的

通过该实验了解数据取证的思想和核心方法,深入掌握Autopsy的使用。

实验环境

服务器:kali ,IP地址:随机分配

测试文件请在实验机内下载使用:http://tools.hetianlab.com/tools/T022.zip

实验步骤

步骤一

启动Autopsy:
数字取证之Autopsy ——合天网安实验室学习笔记_第1张图片
会打开一个终端,双击url:
数字取证之Autopsy ——合天网安实验室学习笔记_第2张图片打开网页:
数字取证之Autopsy ——合天网安实验室学习笔记_第3张图片

创建一个新的case。

点击new case:
数字取证之Autopsy ——合天网安实验室学习笔记_第4张图片

填好必要信息之后点击newcase:
数字取证之Autopsy ——合天网安实验室学习笔记_第5张图片

点击add host。

按照默认的设置继续点击addhost:

数字取证之Autopsy ——合天网安实验室学习笔记_第6张图片

在下图中点击add image加载将要分析的镜像:
数字取证之Autopsy ——合天网安实验室学习笔记_第7张图片

选择add imagefile之后填入路径:

数字取证之Autopsy ——合天网安实验室学习笔记_第8张图片数字取证之Autopsy ——合天网安实验室学习笔记_第9张图片

点击next。

选择校验hash值的选项,然后add:

数字取证之Autopsy ——合天网安实验室学习笔记_第10张图片

autopsy会计算文件的hash,点击ok即可:
数字取证之Autopsy ——合天网安实验室学习笔记_第11张图片

回来到如下界面:

数字取证之Autopsy ——合天网安实验室学习笔记_第12张图片

点击右侧的details可以查看镜像名称、volume ID、文件格式等细节:
数字取证之Autopsy ——合天网安实验室学习笔记_第13张图片

点击浏览器的返回按钮就可以返回先前的界面继续分析。

在分析之前我们可以通过MD5hash校验镜像的完整性,点击image integrity即可:

数字取证之Autopsy ——合天网安实验室学习笔记_第14张图片

点击validate按钮来验证:

数字取证之Autopsy ——合天网安实验室学习笔记_第15张图片

在左下角可以看到验证通过,点击close继续分析。

步骤二

主界面中点击analyze进行分析:
数字取证之Autopsy ——合天网安实验室学习笔记_第16张图片

之后进入到如下界面:

数字取证之Autopsy ——合天网安实验室学习笔记_第17张图片

点击上面的image details菜单:

数字取证之Autopsy ——合天网安实验室学习笔记_第18张图片

可以看到版本等详细信息,接下来点击file analysis:
数字取证之Autopsy ——合天网安实验室学习笔记_第19张图片

进入了文件浏览模式,可以查看镜像中的文件夹和文件,在主视区域可以可以看到项目的权限、大小、metadata等:
数字取证之Autopsy ——合天网安实验室学习笔记_第20张图片

在界面的左侧有四个主要的功能:
数字取证之Autopsy ——合天网安实验室学习笔记_第21张图片
在这里插入图片描述

点击expand direcroty,所有的内容都可以很容易被查看:

数字取证之Autopsy ——合天网安实验室学习笔记_第22张图片

点击前面的“+“,则在右侧的主视图的区域还有显示子目录:
数字取证之Autopsy ——合天网安实验室学习笔记_第23张图片

要查看删除的文件,可以点击左侧的all deleted files按钮:
数字取证之Autopsy ——合天网安实验室学习笔记_第24张图片

删除的文件在主视图区域被用红色字体标记:
数字取证之Autopsy ——合天网安实验室学习笔记_第25张图片

拉到最右边,点击meta下的链接。

可以看到详细的信息。包括16进制的数据以及扩展名等。

比如我们从图中可以看到原来的扩展名很奇怪,hmm:
数字取证之Autopsy ——合天网安实验室学习笔记_第26张图片

我们点击蓝色字体的1066:

数字取证之Autopsy ——合天网安实验室学习笔记_第27张图片

可以看到JPEG文件格式的特征。这意味着file7.hmm可能是一个jpeg文件,只不过扩展名被修改了。

查看每个文件的元数据metadata并不现实,此时可以用到file type的功能。

点击上面的file type一栏即可:
数字取证之Autopsy ——合天网安实验室学习笔记_第28张图片

点击左侧的sortfiles by type,以及右侧的ok:

数字取证之Autopsy ——合天网安实验室学习笔记_第29张图片

排序结束之后,归纳的结果就出来了:
数字取证之Autopsy ——合天网安实验室学习笔记_第30张图片

比如在上图中可以看到有5个扩展不匹配。

步骤三

接下来我们可以点击左侧的view sorted files查看排序后的文件:
数字取证之Autopsy ——合天网安实验室学习笔记_第31张图片

给出了输出文件夹的路径。

按照相应路径打开即可:

在这里插入图片描述

使用firefox打开index.html:

数字取证之Autopsy ——合天网安实验室学习笔记_第32张图片

点击Extension Mismatch,扩展名不匹配的文件如下图所示:
数字取证之Autopsy ——合天网安实验室学习笔记_第33张图片

这五个文件可以进一步通过查看元数据进行分析,和上面的步骤是一样的。

答题

数字取证之Autopsy ——合天网安实验室学习笔记_第34张图片

你可能感兴趣的:(合天网安实验室)