数字取证autopsy工具用法

镜像文件下载地址

Digital (Computer) Forensics Tool Testing Imageshttp://dftt.sourceforge.net/

Windows下autopsy工具源码

本人使用的是kali自带autopsy工具

Download Autopsy from SourceForge.netAutopsy® is a digital forensics platform and graphical interface to The Sleuth Kit® and other digital forensics tools. It can be used by law…https://sourceforge.net/projects/autopsy/files/latest/download本次下载了第3个ntfs系统关键字测试和第8个jpeg查找测试

 点击zip继续下载

 将文件解压会有dd文件

将dd文件复制到kaili下面 

 点击运行autopsy工具

 火狐访问

选择new case

随便写（大概就是取证事例的名字）

点击neew case

继续点击add host（添加主机）

保持默认继续点击add host

 

继续点击add image（添加镜像）

点击add image files

添加你的镜像文件路径

选择是文件磁盘还是文件分区

保持默认

类型选错的报错

选择计算hash值

自动判断你的分区类型

点击add

会帮你计算hash值

点击ok（最重要的页面）

点击details可以查看镜名称，id，文件格式

点击image integer（作用：通过MD5值校验镜像完整性）

点击validate验证

Close关闭

点击analyse分析

点击image detail查看镜像完整信息

点击file analysis（文件分析）

左边4个模块

Directory Seek -------------目录搜索

File Name Search -------------文件搜索

All deleted files -----------------------所有删除的文件

Expa directories---------------------展开目录

点击Expa directories-（+  = 继续展开子目录（右侧））

点击All deleted files ------------------（冒红光）所有删除的文件

最右边点击mata查看详细信息

查看每个文件的matadata

点击file type

点击Sort Files by Type，再点ok

结果出来

点击view Sort Files，复制路径，新url打开file:///路径

可以看出extension一栏为0

说明没有扩展不匹配

关于下载第八种jpeg镜像分析

前面步骤省略

点击export导出图片

 

Add note

做记录

View（查看你的取证日志）

 查看每个文件的matadata

点击file type

点击Sort Files by Type，再点ok

结果出来

 

点击view Sort Files，复制路径，新url打开file:///路径

有五个扩展不匹配

点击进去

点击keyword search来查找关键字

只有一个结果（原始md5值答案可能要）

 原始md5值可能会要求取证