介紹:
開始學習如何使用autopsy進行分析取證,在開始之前請準備好需要分析的映象。本章將介紹如何使用autopsy新建乙個取證案例。
新建案例:
開啟autopsy之後會出現以下介面,點選新建乙個案例。
案例命名,案例名稱建議使用日期時間加上專案名稱,指定案例存放的位置,這裡我存放到g盤根目錄。
以下圖為可選資訊,請根據實際情況進行填寫,最後點選完成。
之後會彈出以下嚮導框,這裡可以選擇要分析的內容,可以是本地磁碟也可以是dd或e01等磁碟映象,我選擇使用磁碟映象。
選擇第二章建立的證據映象(a),選擇時區與證據映象的塊大小(b),這裡我選擇自動檢測。
選擇策略,我選擇自定義設定(a),也就是在下一步中進行配置,如下圖所示,也有定義好的策略,這個策略的作用就是啟動一些分析檢測的模組。比如我們只想分析該證據映象的內容,就可以根據該需求配置策略只啟動這方面的模組。之後會做詳細介紹。
選擇分析模組,暫時先按照以下圖進行配置即可(a),以後再做介紹。點選下一步,最後點選完成autopsy就開始使用我們選擇的模組對證據映象進行分析了。
等待右下角進度條走完,autopsy的工作就結束,之後需要我們人為的進行分析取證了。
數字取證工具的使用
dd 取證工具 它是 linux unix 下的乙個非常有用的工具,作用是用指定大小的塊拷貝乙個檔案,並在拷貝的同時進行指定的轉換。root bt dd if dev sda1 of dev hda1 forensic.image foremost 資料恢復工具 一款開源的取證工具,可以快速恢復硬碟...
事件響應與數字取證工具,Beagle
beagle是一款功能強大的圖形化事件響應與數字取證安全分析工具,支援fireeye hx triages windows evtx檔案 sysmon日誌以及windows記憶體源映象等多種資料來源。匯出的圖形化分析結果可以傳送至類似neo4j和dgraph這樣的圖形化資料庫,或者直接以python...
卡巴斯基實驗室發布開源數字取證工具Bitscout
bitscout是一款可自定義配置的遠端數字取證工具。近日,卡巴斯基實驗室的安全研究專家vitaly kamluk正式發布了bitscout的源 實際上,bitscout並不是卡巴斯基的官方產品,它最開始其實只是卡巴斯基工作人員的乙個個人專案,但隨著卡巴斯基對數字取證工具方面的需求不斷增長,這個專案...