1. Что такое вскрытие
Autopsy Forensic Browserэто инструмент цифровой криминалистики -The Sleuth Kit(TSK), криминалистический инструмент с открытым исходным кодом для анализа образов дисков и восстановления файлов. Предоставляет такие функции, как извлечение строк из образов дисков, восстановление файлов, анализ временной шкалы, анализ истории просмотров для Chrome, Firefox и т. д., поиск по ключевым словам и анализ почты.
2. Что такое дфтт
URL-адрес:dftt.sourceforge.net/
dfttпредставлятьDigital Forensics Tool Testing Images.
Этот веб-сайт содержит файловую систему и образы дисков для тестирования цифровых (компьютерных) средств криминалистического анализа и сбора данных.
3. Тест поиска в формате JPEG
Это тестовое изображениеNTFSфайловая система, которая содержит 10JPEGкартинка, картинка тоже встроеннаяzipа такжеwordи другие документы. Нам нужно найти картинки и другие файлы из него
4. Шаги
1) Скачайте тестовый образ
2) Проверьте тестовое изображение
3) Настроить вскрытие
4) Провести судебно-медицинскую экспертизу
5) Восстановить удаленные файлы
5. Подготовьтесь к сбору доказательств
1) Создайте тестовый каталог
2) Загрузите тестовый образ
Скачать восьмую:Восточная башня. источник forge.net/test8/index…
3) Распаковать файл
4) Проверьте изображение
5) Настроить вскрытие
Начните изнутри приложенияAutopsy
доступhttp://localhost:9999/autopsy
5.1) Выберите, чтобы создать новыйCASE
5.2) Затем заполните некоторую информацию, такую как название дела, описание и т. д., затем нажмитеNEW CASE
5.3) Затем выберите «Добавить хост», затем настройте некоторую информацию
5.4) Затем нажмитеADD IMAGEдобавить зеркало
Скопируйте путь к нему
Вставьте путь кAutopsyВнутри тип выбираетPartition(Раздел), выберите метод импортаSymlink(Связь)
Нажмите «Далее», затем установите некоторые параметры, затем нажмитеADD
затем нажмитеOK
затем нажмитеIMAGE INTEGRITYВыполнить проверку целостности изображения
Проверитьmd5контрольная сумма, которая должна быть такой же, как та, которую мы использовали ранееmd5sumПредставление команд согласовано, затем нажмитеCLOSE
6. ИспользуйтеAutopsyАнализ изображений и восстановление файлов
1) НажмитеANALYZEкнопка для анализа
2) Посмотреть детали зеркала
Тип файловой системыNTFS, и серийный номер тома, этот серийный номер должен совпадать с исходным диском, что очень важно в цепочке криминалистических доказательств, чтобы доказать, что серийный номер тома зеркальной копии, которую вы проанализировали, соответствует исходному диску.
тип системыwindows xp
3) ИспользованиеAutopsyПросмотр сведений об анализе файла
3.1) Чтобы просмотреть все удаленные файлы, нажмите в левом нижнем углуAll Deleted Files
Вы можете видеть, что есть два удаленных файла, один из которыхjpgдокумент:file6.jpg, и суффиксhmmизfile7Что тогда?
3.2) Нажмитеfile6.jpg, можно увидетьFile TypeдляJPEG image data, затем экспортируйте файл
сохранить файл в/var/forensics/imagesсодержание
3.3) Чтобы добавить запись, нажмите в правом нижнем углуAdd Note
Введите свое имя, дату и другую информацию, затем нажмитеOK
Может просматривать записи
3.4) Просмотр удаленных файловfile7.hmm
Нажмите в левом нижнем углуALL DELETED FILES, затем нажмитеfile7.hmm
AutopsyАнализируетсяJPEGфайл, также выберитеExportэкспортировать сохранить в/var/forensics/imagesсодержание
затем нажмитеAdd Noteдобавить запись
3.5) Повторите зеркалированиеmd5чек об оплате
затем нажмитеVALIDATE, для сравнения с оригиналом
Цель состоит в том, чтобы доказать, что у вас не сломалось зеркало и изменено в процессе сбора доказательств, если уничтожение и модификация, в соответствии с законом, что доказательства будут недействительными.
7, завершите доказательства
1) закрытьFILE SYSTEM IMAGES
2) Просмотр журналов судебной экспертизы
👇👇Нажмите на ссылку ниже, чтобы испытать онлайн-инструмент судебной экспертизыAutopsyиспользование
Вскрытие для цифровой криминалистики
8. Описание
Эта статья изначально была создана Hetian Network Security Laboratory, пожалуйста, укажите источник для перепечатки.
О лаборатории сетевой безопасности Hetian
Hetian Network Security Lab (www.hetianlab.com) — ведущая онлайн-платформа для практического обучения сетевой безопасности в Китае.
Реальная среда, онлайн-практика для изучения сетевой безопасности; Экспериментальный контент охватывает: системную безопасность, безопасность программного обеспечения, сетевую безопасность, веб-безопасность, мобильную безопасность, CTF, криминалистический анализ, тестирование на проникновение, обучение по вопросам сетевой безопасности и т. д.