Linux安装、使用Sleuth kit/Autopsy（分析磁盘映像和恢复文件的开源取证工具）

SIFT 是一个由 SANS 公司提供的基于 Ubuntu 的取证发行版。它包含许多取证工具，如 Sleuth kit/Autopsy 。但 Sleuth kit/Autopsy 可以直接在 Ubuntu 或 Fedora发行版本上直接安装，而不必下载 SIFT 的整个发行版本。

Sleuth Kit/Autopsy 是一个开源的电子取证调查工具，它可以用于从磁盘映像中恢复丢失的文件，以及为了特殊事件进行磁盘映像分析。 Autopsy 工具是 sleuth kit 的一个网页接口，支持 sleuth kit 的所有功能。这个工具在 Windows 和 Linux 平台下都可获取到。

安装 Sleuth kit

首先，从 sleuthkit 的网站下载 Sleuth kit 软件。使用下面的命令在虚拟终端下使用 wget 命令来下载它，下图展示了这个过程。

# wget http://cznic.dl.sourceforge.net/project/sleuthkit/sleuthkit/4.1.3/sleuthkit-4.1.3.tar.gz

使用下面的命令解压 sleuthkit-4.1.3.tar.gz 并进入解压后的目录：

# tar -xvzf sleuthkit-4.1.3.tar.gz

在安装 sleuth kit 之前，运行下面的命令来执行所需的检查：

# ./configure

然后使用 Make 命令来编译 sleuth kit ：

# make

最后，使用下面的命令将它安装到 /usr/local 目录下：

# make install

安装 Autopsy 工具

Sleuth kit 已经安装完毕，现在我们将为它安装 autopsy 界面。从 sleuthkit 的 autopsy 页面下载 Autopsy 软件。使用下面的命令在虚拟终端下使用 wget 命令来下载它，下图展示了这个过程。

# wget http://kaz.dl.sourceforge.net/project/autopsy/autopsy/2.24/autopsy-2.24.tar.gz

使用下面的命令解压 autopsy-2.24.tar.gz 并进入解压后的目录：

# tar -xvzf autopsy-2.24.tar.gz

autopsy 的配置脚本将询问 NSRL (National Software Reference Library) 和 Evidence_Locker 文件夹的路径。

当弹窗问及 NSRL 时，输入 "n"，并在 /usr/local 目录下创建名为 EvidenceLocker 的文件夹。Autopsy 将在 EvidenceLocker 文件夹下存储配置文件，审计记录和输出文件。

# mkdir /usr/local/Evidence_Locker
# cd autopsy-2.24
# ./configure

在安装过程中添加完 Evidence_Locker 的安装路径后， autopsy 在那里存储配置文件并展现如下的信息来运行 autopsy 程序。

在虚拟终端中键入 ./autopsy 命令来启动 Sleuth kit 工具的图形界面：

在浏览器中键入下面的地址来访问 autopsy 的界面：

http://localhost:9999/autopsy

下图展现了 autopsy 插件的主页面：

在 autopsy 工具中，点击 新案例 按钮来开始进行分析。键入案例名称，此次调查的描述和检查人的姓名，下图有具体的展示：

在接下来的网页中，将展示在上一个的网页中键入的详细信息。接着点击 增加主机 按钮来添加有关要分析的机器的详细信息。

在下一个网页中键入主机名，相关的描述和要分析的机器的时区设置。

添加主机后，点击 增加映像 按钮来为取证分析添加映像文件。

在接下来的网页中点击 增加映像文件 按钮。它将打开一个新的网页，来询问映像文件的路径和选择映像的类型以及导入的方法。

正如下图中展示的那样，我们已经键入了 Linux 映像文件的路径。在我们这个例子中，映像文件类型是磁盘分区。

点击“下一步”按钮并在下一页中选择 计算散列值 的选项，这在下图中有展示。它也将检测所给映像的文件系统类型。

下面的图片展示了静态分析之前映像文件的 MD5 散列值。

在下一个网页中， autopsy 展现了有关映像文件的如下信息：

映像的挂载点
映像的名称
所给映像的文件系统类型

点击详情按钮来获取更多有关所给映像文件的信息。它还提供了从映像文件的卷中导出未分配的片段和字符串的数据信息，这在下图中有展现。

在下图中那样，点击分析按钮来开始分析所给映像。它将开启另一个页面，其中包含了映像分析的多个选项。

在映像分析过程中，Autopsy 提供了如下的功能：

文件分析
关键字搜索
文件类型
映像详情
数据单元

下图展示的是在给定的 Linux 分区映像上进行文件分析：

它将从所给映像中提取所有的文件和文件夹。在下图中也展示了已被删除的文件的提取：

结论

希望这篇文章能够给那些进入磁盘映像静态分析领域的新手提供帮助。Autopsy 是 sleuth kit 的网页界面，提供了在 Windows 和 Linux 磁盘映像中进行诸如字符串提取，恢复被删文件，时间线分析，网络浏览历史，关键字搜索和邮件分析等功能。

via: http://linoxide.com/ubuntu-how-to/autopsy-sleuth-kit-installation-ubuntu/

Linux安装、使用Sleuth kit/Autopsy（分析磁盘映像和恢复文件的开源取证工具）相关推荐

随手记——虚拟机从ovf安装，缺少所需的磁盘映像
EXSI导入ovf.vmdk提示缺少所需的磁盘映像编辑ovf文件,找到ovf:href后的乱码名称(实为中文名称,平台无法通过.OVF找到对应的磁盘印象),修改为vmdk一致名称即可.
linux安装软件时/usr/lib/python2.7/site-packages/urlgrabber/grabber.py文件异常
linux安装软件时,经常出现以下异常信息 Traceback (most recent call last):File "/usr/libexec/urlgrabber-ext-down& ...
Unit 3: Unix/Linux File System 3.1 Unix/Linux File System Sleuthkit and Autopsy
>> Now let's learn and practice a well-known open source forensic analysis tool called Sleuth ...
linux安装 xen,第三方软件源安装Xen
本文由LinuxProbe.Com团队成员魏丽猿整理发布,原文来自:Linux运维笔记. 因为从RHEL6版本开始,RedHat就不在原生支持Xen,改为投奔KVM的怀抱,尽管KVM号称支援HVM技术 ...
从 Linux 安装到 Hadoop 环境搭建全过程
Hadoop 环境搭建从 Linux 的最小化安装到 Hadoop 环境的搭建,尽可能详尽介绍每个步骤. 文章目录 Hadoop 环境搭建环境准备安装 CentOS 7 配置 yum 源安装 ...
Linux安装程序Anaconda分析
1.概述 Anaconda是RedHat.CentOS.Fedora等Linux的安装管理程序.它能够提供文本.图形等安装管理方式,并支持Kickstart等脚本提供自己主动安装的功能.此外, ...
linux 分析磁盘性能,03.分析性能瓶颈 - 3.4.磁盘瓶颈 - 《Linux性能调优指南》 - 书栈网 · BookStack...
磁盘瓶颈磁盘瓶颈性能调优选项磁盘子系统通常是服务器性能的最重要方面,是瓶颈问题的高发部件.但是,磁盘问题表现的有时候并不是那么直接,比如说可能是内存不足.如果CPU周期浪费在等待I/O任务完成,应用 ...
运行自定义映像。linux,安装和使用virt-customize自定义Qcow2/Raw Linux OS磁盘映像
本文将讨论如何使用virt-customize自定义Qcow2映像,QCOW代表(QEMU Copy On Write),是QEMU处理器仿真器支持的磁盘映像格式之一,它使用磁盘存储优化策略,在实际需 ...
第四次考核 Jimmy 学徒考核 Linux安装软件 rnaseq上游分析-2 ascp kingfisher数据下载ena Linux高速下载 Linux下载网页内容
1 第四次考核 Jimmy 学徒考核 Linux安装软件 rnaseq上游分析_YoungLeelight的博客-CSDN博客 01-rna-seq从头开始卖萌哥 Linux生信技能树Linux安装 ...

Linux安装、使用Sleuth kit/Autopsy（分析磁盘映像和恢复文件的开源取证工具）

Linux安装、使用Sleuth kit/Autopsy（分析磁盘映像和恢复文件的开源取证工具）相关推荐

最新文章

热门文章