sift 是一個由 sans 公司提供的基于 ubuntu 的驗證發行版。它包含許多驗證工具,如 sleuth kit/autopsy 。但 sleuth kit/autopsy 可以直接在 ubuntu 或 fedora 發行版本上直接安裝,而不必下載下傳 sift 的整個發行版本。
sleuth kit/autopsy 是一個開源的電子驗證調查工具,它可以用于從磁盤映像中恢複丢失的檔案,以及為了特殊事件進行磁盤映像分析。 autopsy 工具是 sleuth kit 的一個網頁接口,支援 sleuth kit 的所有功能。這個工具在 windows 和 linux 平台下都可擷取到。
<a target="_blank"></a>
<code># wget http://cznic.dl.sourceforge.net/project/sleuthkit/sleuthkit/4.1.3/sleuthkit-4.1.3.tar.gz</code>
下載下傳 sleuth kit
使用下面的指令解壓 sleuthkit-4.1.3.tar.gz 并進入解壓後的目錄:
<code># tar -xvzf sleuthkit-4.1.3.tar.gz</code>
解壓過程
在安裝 sleuth kit 之前,運作下面的指令來執行所需的檢查:
<code># ./configure</code>
configure
然後使用 make 指令來編譯 sleuth kit :
<code># make</code>
make
最後,使用下面的指令将它安裝到 /usr/local 目錄下:
<code># make install</code>
make install
<code># wget http://kaz.dl.sourceforge.net/project/autopsy/autopsy/2.24/autopsy-2.24.tar.gz</code>
autpsy 的下載下傳連結
使用下面的指令解壓 autopsy-2.24.tar.gz 并進入解壓後的目錄:
<code># tar -xvzf autopsy-2.24.tar.gz</code>
autopsy 的解壓
autopsy 的配置腳本将詢問 nsrl (national software reference library) 和 evidence_locker 檔案夾的路徑。
當彈窗問及 nsrl 時,輸入 "n",并在 /usr/local 目錄下建立名為 evidencelocker 的檔案夾。autopsy 将在 evidencelocker 檔案夾下存儲配置檔案,審計記錄和輸出檔案。
<code># mkdir /usr/local/evidence_locker</code>
<code># cd autopsy-2.24</code>
autopsy 配置腳本
在安裝過程中添加完 evidence_locker 的安裝路徑後, autopsy 在那裡存儲配置檔案并展現如下的資訊來運作 autopsy 程式。
啟動 autopsy
在虛拟終端中鍵入 ./autopsy 指令來啟動 sleuth kit 工具的圖形界面:
autopsy
在浏覽器中鍵入下面的位址來通路 autopsy 的界面:
<code>http://localhost:9999/autopsy</code>
下圖展現了 autopsy 插件的首頁面:
首頁
在 autopsy 工具中,點選 新案例 按鈕來開始進行分析。鍵入案例名稱,此次調查的描述和檢查人的姓名,下圖有具體的展示:
建立新事件
在接下來的網頁中,将展示在上一個的網頁中鍵入的詳細資訊。接着點選 增加主機 按鈕來添加有關要分析的機器的詳細資訊。
增加主機
在下一個網頁中鍵入主機名,相關的描述和要分析的機器的時區設定。
添加主機的詳細資訊
添加主機後,點選 增加映像 按鈕來為驗證分析添加映像檔案。
添加映像
在接下來的網頁中點選 增加映像檔案 按鈕。它将打開一個新的網頁,來詢問映像檔案的路徑和選擇映像的類型以及導入的方法。
添加映像檔案
正如下圖中展示的那樣,我們已經鍵入了 linux 映像檔案的路徑。在我們這個例子中,映像檔案類型是磁盤分區。
添加映像分區
點選“下一步”按鈕并在下一頁中選擇 計算散列值 的選項,這在下圖中有展示。它也将檢測所給映像的檔案系統類型。
映像和檔案系統詳情
下面的圖檔展示了靜态分析之前映像檔案的 md5 散列值。
散列值
在下一個網頁中, autopsy 展現了有關映像檔案的如下資訊:
映像的挂載點
映像的名稱
所給映像的檔案系統類型
點選 詳情 按鈕來擷取更多有關所給映像檔案的資訊。它還提供了從映像檔案的卷中導出未配置設定的片段和字元串的資料資訊,這在下圖中有展現。
映像的詳細資訊
在下圖中那樣,點選 分析 按鈕來開始分析所給映像。它将開啟另一個頁面,其中包含了映像分析的多個選項。
分析
在映像分析過程中,autopsy 提供了如下的功能:
檔案分析
關鍵字搜尋
檔案類型
映像詳情
資料單元
下圖展示的是在給定的 linux 分區映像上進行檔案分析:
映像的分析
它将從所給映像中提取所有的檔案和檔案夾。在下圖中也展示了已被删除的檔案的提取:
已被删除的檔案
希望這篇文章能夠給那些進入磁盤映像靜态分析領域的新手提供幫助。autopsy 是 sleuth kit 的網頁界面,提供了在 windows 和 linux 磁盤映像中進行諸如字元串提取,恢複被删檔案,時間線分析,網絡浏覽曆史,關鍵字搜尋和郵件分析等功能。
原文釋出時間為:2015-05-30
本文來自雲栖社群合作夥伴“linux中國”