免费取证工具Autopsy功能及应用
Autopsy主要功能:
•多用户案例:与其他执法人员就大型案例进行协作。
•时间轴分析:在图形界面中显示系统事件,以帮助识别活动。
•关键字搜索:文本提取和索引搜索模块使您能够查提到特定术语的文件并查正则表达式模式。
•浏览器分析:从常见的浏览器中提取Web活动,以帮助识别用户活动。
•注册表分析:使用RegRipper识别最近访问的文档和USB设备。
•LNK文件分析:标识快捷方式和访问的文档
•分析:解析MBOX格式的消息,例如Thunderbird。
•EXIF:从JPEG文件中提取地理位置和相机信息。
•文件类型排序:按文件类型对文件进行分组以查所有图像或文档。
•媒体播放:在应用程序中查看视频和图像,不需要外部查看器。
•缩略图查看器:显示图像的缩略图以帮助快速查看图片。
•强大的文件系统分析:支持常见文件系统,包括Sleuth Kit中的NTFS,FAT12 / FAT16 / FAT32 / ExFAT,HFS +,ISO9660(CD-
ROM),Ext2 / Ext3 / Ext4,Yaffs2和UFS 。
•哈希集过滤:使用NSRL过滤出已知的好文件,并使用HashKeeper,md5sum和EnCase格式的自定义哈希集标记已知的坏文件。
•标签:使用任意标签名称(例如“书签”或“可疑”)标记文件,并添加注释。
•Unicode字符串提取:从未分配的空间和未知文件类型中提取多种语言(阿拉伯语,中文,日语等)的字符串。
•基于签名和扩展名不匹配检测的文件类型检测。
•有趣的文件模块将根据名称和路径标记文件和文件夹。
•Android支持:从SMS,通话记录,联系人,探戈,与朋友交流的单词等中提取数据。
Autopsy快速应用:
案例和数据源
Autopsy按案例组织数据。每个案例可以具有一个或多个数据源,这些数据源可以是磁盘映像,一组逻辑文件,连接USB的设备等。
创建案例
要创建案例,请使用“欢迎”屏幕上的“创建新案例”选项,或使用“案例”菜单。这将启动“新案例向导”。您需要为其提供案例名称和用于存储案例结果的目录。您可以选择提供案例编号和审阅者姓名。
正则匹配哈希值添加数据源
下一步是将输入数据源添加到案例。创建案例后,“添加数据源向导”将自动启动,或者您可以从“案例”菜单或工具栏手动启动它。您将需要选择要添加的输入数据源的类型(图像,本地磁盘或逻辑文件和文件夹)。接下来,向其提供要添加的源的位置。
•对于磁盘映像,请浏览到该集中的第一个文件(Autopsy将查其余文件)。
•对于本地磁盘,选择检测到的磁盘之一。Autopsy会将磁盘的当前视图添加到案例(即元数据的快照)。但是,单个文件内容(不是元数据)的确会随着对磁盘的更改而更新。您可以选择创建从本地磁盘读取的所有
数据到VHD文件的副本,这对于分流情况很有用。注意,您可能需要以
管理员身份运行Autopsy才能检测所有磁盘。
•对于逻辑文件(单个文件或文件文件夹),请使用“添加”按钮将系统上的一个或多个文件或文件夹添加到案例中。文件夹将被递归添加到案例
中。
提供所需的数据后,Autopsy将快速查看数据源并向案例数据库添加最少的元数据,以便它可以安排文件进行分析。在执行此操作时,它将提示您配置分析模块。
分析模块
接收模块负责分析数据源内容,并将在后台运行。提取模块按优先顺序分析文件,以便先分析用户目录中的文件,然后再分析其他文件夹中的文件。分析模块可以由第三方开发。
Autopsy包含的标准分析模块为:
•最近活动模块提取由网络浏览器和操作系统保存的用户活动。还可以在注册表配置单元上运行Regripper。
•哈希查模块使用哈希集来忽略NIST NSRL中的已知文件并标记已知的错误文件。使用“高级”按钮添加和配置在此过程中使用的哈希集。提取发生时,您将获得有关已知错误文件命中的更新。您以后可以通过主UI中的“工具”->“选项”菜单添加哈希集。您可以
从sourceforge/projects/autopsy/files/NSRL/下载
NIST NSRL的索引。
•文件类型识别模块根据签名确定文件类型,并根据MIME类型报告它们。
它将结果存储在Blackboard中,许多模块依赖于此。它使用Tika开源库。您可以在工具,选项,文件类型中定义自己的自定义文件类型。•嵌入式文件提取模块将打开ZIP,RAR,其他存档格式,Doc,Docx,PPT,PPTX,XLS和XLSX,并通过摄取管道将这些文件的派生文件发送回去进行分析。
•EXIF解析器模块从JPEG文件中提取EXIF信息,并将结果发布到主UI 中的树中。
•关键字搜索模块使用关键字列表来识别其中包含特定单词的文件。您可以选择要自动搜索的关键字列表,也可以使用“高级”按钮创建新列表。请注意,通过关键字搜索,您可以始终在提取完成后进行搜索。会定期搜索您在提取过程中选择的关键字列表,并实时获得结果。在执行关键字搜索之前,您不需要等待所有文件都被索引,但是在执行搜索时,您只会从已被索引的文件中获取结果。
•解析器模块根据文件签名识别Thunderbird MBOX文件和PST格式文件,从中提取,并将结果添加到Blackboard。
•扩展名不匹配检测器模块使用文件类型标识的结果并标记具有传统上与文件的检测到的类型不相关联的扩展名的文件。忽略“已知”(NSRL)文件。您可以在工具,选项,文件扩展名不匹配中自定义MIME类型和每种MIME类型的文件扩展名。
•数据源完整性模块计算E01文件的校验和,并与E01文件的内部校验和进行比较以确保它们匹配。
•Android Analyzer模块可让您解析Android设备中的常见项目。将工件放入Blackboard。
•有趣的文件标识符模块根据“工具”,“选项”,“有趣的文件”中用户指定的规则搜索文件和目录。它用作“文件警报模块”。到指定文件后,它将在收件箱中生成消息。
•PhotoRec Carver模块从未分配的空间中雕刻文件,并通过文件处理链发送它们。
•关联引擎模块将文件哈希和其他提取的属性添加到中央存储库,以进行将来的关联并标记以前值得注意的文件。
•加密检测模块查加密的文件。
•虚拟机提取器模块从虚拟机文件中提取数据
选择模块时,可以选择更改其设置。例如,您可以配置在提取期间要使用哪些关键字搜索列表以及要使用哪些哈希集。有关配置每个模块的详细信息,请参阅各个模块的帮助。
当提取模块在后台运行时,您将在右下方看到进度条。您可以使用GUI查看传入结果并在同时摄取的同时执行其他任务。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论