Sleuth Kit:一个用来分析磁盘映像和恢复文件的开源取证工具

SIFT 是一个由 SANS 公司提供的基于 Ubuntu 的取证发行版。它包含许多取证工具,如 Sleuth kit/Autopsy 。但 Sleuth kit/Autopsy 可以直接在 Ubuntu 或 Fedora 发行版本上直接安装,而不必下载 SIFT 的整个发行版本。

Sleuth Kit/Autopsy 是一个开源的电子取证调查工具,它可以用于从磁盘映像中恢复丢失的文件,以及为了特殊事件进行磁盘映像分析。 Autopsy 工具是 sleuth kit 的一个网页接口,支持 sleuth kit 的所有功能。这个工具在 Windows 和 Linux 平台下都可获取到。

安装 Sleuth kit

首先,从 sleuthkit 的网站下载 Sleuth kit 软件。使用下面的命令在虚拟终端下使用 wget 命令来下载它,下图展示了这个过程。


  1. # wget http://cznic.dl.sourceforge.net/project/sleuthkit/sleuthkit/4.1.3/sleuthkit-4.1.3.tar.gz

下载 Sleuth Kit

使用下面的命令解压 sleuthkit-4.1.3.tar.gz 并进入解压后的目录:


  1. # tar -xvzf sleuthkit-4.1.3.tar.gz

解压过程

在安装 sleuth kit 之前,运行下面的命令来执行所需的检查:


  1. # ./configure

configure

然后使用 Make 命令来编译 sleuth kit :


  1. # make

make

最后,使用下面的命令将它安装到 /usr/local 目录下:


  1. # make install

make install

安装 Autopsy 工具

Sleuth kit 已经安装完毕,现在我们将为它安装 autopsy 界面。从 sleuthkit 的 autopsy 页面下载 Autopsy 软件。使用下面的命令在虚拟终端下使用 wget 命令来下载它,下图展示了这个过程。


  1. # wget http://kaz.dl.sourceforge.net/project/autopsy/autopsy/2.24/autopsy-2.24.tar.gz

Autpsy 的下载链接

使用下面的命令解压 autopsy-2.24.tar.gz 并进入解压后的目录:


  1. # tar -xvzf autopsy-2.24.tar.gz

Autopsy 的解压

autopsy 的配置脚本将询问 NSRL (National Software Reference Library) 和 Evidence_Locker 文件夹的路径。

当弹窗问及 NSRL 时,输入 "n",并在 /usr/local 目录下创建名为 EvidenceLocker 的文件夹。Autopsy 将在 EvidenceLocker 文件夹下存储配置文件,审计记录和输出文件。


  1. # mkdir /usr/local/Evidence_Locker
  2. # cd autopsy-2.24
  3. # ./configure

Autopsy 配置脚本

在安装过程中添加完 Evidence_Locker 的安装路径后, autopsy 在那里存储配置文件并展现如下的信息来运行 autopsy 程序。

启动 Autopsy

在虚拟终端中键入 ./autopsy 命令来启动 Sleuth kit 工具的图形界面:

Autopsy

在浏览器中键入下面的地址来访问 autopsy 的界面:


  1. http://localhost:9999/autopsy

下图展现了 autopsy 插件的主页面:

主页

在 autopsy 工具中,点击 新案例 按钮来开始进行分析。键入案例名称,此次调查的描述和检查人的姓名,下图有具体的展示:

创建新事件

在接下来的网页中,将展示在上一个的网页中键入的详细信息。接着点击 增加主机 按钮来添加有关要分析的机器的详细信息。

增加主机

在下一个网页中键入主机名,相关的描述和要分析的机器的时区设置。

添加主机的详细信息

添加主机后,点击 增加映像 按钮来为取证分析添加映像文件。

添加映像

在接下来的网页中点击 增加映像文件 按钮。它将打开一个新的网页,来询问映像文件的路径和选择映像的类型以及导入的方法。

添加映像文件

正如下图中展示的那样,我们已经键入了 Linux 映像文件的路径。在我们这个例子中,映像文件类型是磁盘分区。

添加映像分区

点击“下一步”按钮并在下一页中选择 计算散列值 的选项,这在下图中有展示。它也将检测所给映像的文件系统类型。

映像和文件系统详情

下面的图片展示了静态分析之前映像文件的 MD5 散列值。

散列值

在下一个网页中, autopsy 展现了有关映像文件的如下信息:

  • 映像的挂载点
  • 映像的名称
  • 所给映像的文件系统类型

点击 详情 按钮来获取更多有关所给映像文件的信息。它还提供了从映像文件的卷中导出未分配的片段和字符串的数据信息,这在下图中有展现。

映像的详细信息

在下图中那样,点击 分析 按钮来开始分析所给映像。它将开启另一个页面,其中包含了映像分析的多个选项。

分析

在映像分析过程中,Autopsy 提供了如下的功能:

  • 文件分析
  • 关键字搜索
  • 文件类型
  • 映像详情
  • 数据单元

下图展示的是在给定的 Linux 分区映像上进行文件分析:

映像的分析

它将从所给映像中提取所有的文件和文件夹。在下图中也展示了已被删除的文件的提取:

已被删除的文件

结论

希望这篇文章能够给那些进入磁盘映像静态分析领域的新手提供帮助。Autopsy 是 sleuth kit 的网页界面,提供了在 Windows 和 Linux 磁盘映像中进行诸如字符串提取,恢复被删文件,时间线分析,网络浏览历史,关键字搜索和邮件分析等功能。

原文发布时间为:2015-05-30

本文来自合作伙伴“Linux中国”

时间: 2024-10-26 21:18:12

Sleuth Kit:一个用来分析磁盘映像和恢复文件的开源取证工具的相关文章

eMount 0.11.2发布 磁盘映像文件管理工具

eMount 0.11.2该版本一个漏洞防止eMount运行于X11显示被修复. eMount 是一个磁盘映像文件管理工具,可用来安装.加密解密磁盘映像文件或者是物理磁盘,该工具依赖于 cryptsetup ,实现了 LUKS 加密规范. 下载地址: • Source&http://www.aliyun.com/zixun/aggregation/37954.html">nbsp;emount-0.11.2.tar.gz md5 2014bbb902d9f8055110b45d5e

libguestfs 1.12.0发布 虚拟机磁盘映像工具

libguestfs 是一个用于访问和修改虚拟机(VM)磁盘映像的工具.你可以用libguestfs查看和编辑文件,可以改变脚本为VMS,监控磁盘使用状况统计,P2V,V2V,执行部分备份,克隆VMs等等. libguestfs 不需要root权限,可以访问和支持的文件系统包括: all known types of Linux filesystem (ext2/3/4, XFS, btrfs, etc.), any Windows filesystem (VFAT and NTFS), any

一个ASP显示剩余磁盘空间的函数

 这是一个ASP显示剩余磁盘空间的函数,需要的朋友可以拿去直接用就可以了 Function ShowFreeSpace(drvPath)     Dim fso, d, s     Set fso = CreateObject("Scripting.FileSystemObject")     Set d = fso.GetDrive(fso.GetDriveName(drvPath))     s = "驱动器 " & UCase(drvPath) &am

libguestfs 1.18.0发布 虚拟机磁盘映像工具

libguestfs 是一款用于访问和修改虚拟机(VM)磁盘映像的工具.你可以用libguestfs查看和编辑文件,可以改变脚本为VMS,监控磁盘使用状况统计,P2V,V2V,执行部分备份,克隆VMs等等. libguestfs 不需要root权限,可以访问和支持的文件系统包括: all known types of Linux filesystem (ext2/3/4, XFS, btrfs, etc.), any Windows filesystem (VFAT and NTFS), any

《iOS取证实战:调查、分析与移动安全》一1.3 取证审查方法

1.3 取证审查方法 与任何取证研究一样,这里提供几种方法用于信息获取和分析.无论用任何方式进行信息获取都不能修改源信息,这是信息获取的关键,也可以说是最重要的一点.如果在一些实时系统或移动设备上获取信息时无法避免要修改源信息,那么分析者必须说明修改的细节以及必须作此修改的原因.移动领域取证与传统的计算机取证不一样,传统的计算机取证,你可以拆下硬盘,连上数据恢复工具write blocker,然后映像数据,最后就可以对这些数据进行分析了.而在移动领域就没有这么简单了,由NAND的特性和主存储器结

七款磁盘碎片整理软件大比拼 与下载_常用工具

硬盘在使用一段时间后,由于反复写入和删除文件,磁盘中的空闲扇区会分散到整个磁盘中不连续的物理位置上,从而使文件不能存在连续的扇区类.这样,再读写文件是就需要到不同的地方去读取,增加了磁头的来回移动,降低了磁盘的访问速度. 硬盘就像屋子一样更需要常整理,要整理磁盘我们就要用到"磁盘碎片整理程序"这个东西,磁盘碎片整理程序可以对使用文件分配表 (FAT) 文件系统.FAT32 文件系统和 NTFS 文件系统格式化的卷进行碎片整理. 不过也有人认为经常整理硬盘碎片会损害硬盘的使用寿命!磁盘碎

磁盘-新手学习C语言文件,问题已经在程序中备注,求解答!

问题描述 新手学习C语言文件,问题已经在程序中备注,求解答! //怎样向文件读写字符 #include #include int main() { FILE * fp; char ch,filename[10]: printf("请输入所用的文件名:"); scanf("%s",filename); if((fp = fopen(filename,"w")) == NULL)//为什么这里的filename没有双引号引起来: { printf(&

u盘-为什么在U盘或磁盘创建了inf类型文件,双击U盘,它不能自动运行?控制面板的自动播放我也开了啊

问题描述 为什么在U盘或磁盘创建了inf类型文件,双击U盘,它不能自动运行?控制面板的自动播放我也开了啊 控制面板的自动播放我也开了啊?b.bat路径也没问题啊 [AutoRun] open=b.bat shellexecute=b.bat shellAutocommand=b.bat 解决方案 win7以后加强安全就不会允许自启动了. 解决方案二: 默认windows7禁用了移动硬盘的自动播放,但是光盘没有禁用,你可以写入光盘试试看.或者用ultraiso写入iso文件,用虚拟光驱加载. 另一

iredmail下安装脚本分析(一)---get_all.sh 文件所在目录为PKGS_linux shell

iredmail是一套以postfix为核心的整合邮件系统的安装脚本,可以达到快速部署邮件服务器的目的. 经过上面的一系列分析后,进入到获取安装包的步骤,作者在此处单独写了一个脚本,get_all.sh,我们继续分析这个脚本 _ROOTDIR="$(pwd)" CONF_DIR="${_ROOTDIR}/../conf" . ${CONF_DIR}/global . ${CONF_DIR}/core . ${CONF_DIR}/iredadmin 程序的意思是利用p