Linux中國

Sleuth Kit:一個用來分析磁碟映像和恢復文件的開源取證工具

安裝 Sleuth kit

首先,從 sleuthkit 的網站下載 Sleuth kit 軟體。使用下面的命令在虛擬終端下使用 wget 命令來下載它,下圖展示了這個過程。

# wget http://cznic.dl.sourceforge.net/project/sleuthkit/sleuthkit/4.1.3/sleuthkit-4.1.3.tar.gz

下載 Sleuth Kit

使用下面的命令解壓 sleuthkit-4.1.3.tar.gz 並進入解壓後的目錄:

# tar -xvzf sleuthkit-4.1.3.tar.gz

解壓過程

在安裝 sleuth kit 之前,運行下面的命令來執行所需的檢查:

# ./configure

configure

然後使用 Make 命令來編譯 sleuth kit :

# make

make

最後,使用下面的命令將它安裝到 /usr/local 目錄下:

# make install

make install

安裝 Autopsy 工具

Sleuth kit 已經安裝完畢,現在我們將為它安裝 autopsy 界面。從 sleuthkit 的 autopsy 頁面下載 Autopsy 軟體。使用下面的命令在虛擬終端下使用 wget 命令來下載它,下圖展示了這個過程。

# wget http://kaz.dl.sourceforge.net/project/autopsy/autopsy/2.24/autopsy-2.24.tar.gz

Autpsy 的下載鏈接

使用下面的命令解壓 autopsy-2.24.tar.gz 並進入解壓後的目錄:

# tar -xvzf autopsy-2.24.tar.gz

Autopsy 的解壓

autopsy 的配置腳本將詢問 NSRL (National Software Reference Library) 和 Evidence_Locker 文件夾的路徑。

當彈窗問及 NSRL 時,輸入 "n",並在 /usr/local 目錄下創建名為 EvidenceLocker 的文件夾。Autopsy 將在 EvidenceLocker 文件夾下存儲配置文件,審計記錄和輸出文件。

# mkdir /usr/local/Evidence_Locker
# cd autopsy-2.24
# ./configure

Autopsy 配置腳本

在安裝過程中添加完 Evidence_Locker 的安裝路徑後, autopsy 在那裡存儲配置文件並展現如下的信息來運行 autopsy 程序。

啟動 Autopsy

在虛擬終端中鍵入 ./autopsy 命令來啟動 Sleuth kit 工具的圖形界面:

Autopsy

在瀏覽器中鍵入下面的地址來訪問 autopsy 的界面:

http://localhost:9999/autopsy

下圖展現了 autopsy 插件的主頁面:

主頁

在 autopsy 工具中,點擊 新案例 按鈕來開始進行分析。鍵入案例名稱,此次調查的描述和檢查人的姓名,下圖有具體的展示:

創建新事件

在接下來的網頁中,將展示在上一個的網頁中鍵入的詳細信息。接著點擊 增加主機 按鈕來添加有關要分析的機器的詳細信息。

增加主機

在下一個網頁中鍵入主機名,相關的描述和要分析的機器的時區設置。

添加主機的詳細信息

添加主機後,點擊 增加映像 按鈕來為取證分析添加映像文件。

添加映像

在接下來的網頁中點擊 增加映像文件 按鈕。它將打開一個新的網頁,來詢問映像文件的路徑和選擇映像的類型以及導入的方法。

添加映像文件

正如下圖中展示的那樣,我們已經鍵入了 Linux 映像文件的路徑。在我們這個例子中,映像文件類型是磁碟分區。

添加映像分區

點擊「下一步」按鈕並在下一頁中選擇 計算散列值 的選項,這在下圖中有展示。它也將檢測所給映像的文件系統類型。

映像和文件系統詳情

下面的圖片展示了靜態分析之前映像文件的 MD5 散列值。

散列值

在下一個網頁中, autopsy 展現了有關映像文件的如下信息:

  • 映像的掛載點
  • 映像的名稱
  • 所給映像的文件系統類型

點擊 詳情 按鈕來獲取更多有關所給映像文件的信息。它還提供了從映像文件的卷中導出未分配的片段和字元串的數據信息,這在下圖中有展現。

映像的詳細信息

在下圖中那樣,點擊 分析 按鈕來開始分析所給映像。它將開啟另一個頁面,其中包含了映像分析的多個選項。

分析

在映像分析過程中,Autopsy 提供了如下的功能:

  • 文件分析
  • 關鍵字搜索
  • 文件類型
  • 映像詳情
  • 數據單元

下圖展示的是在給定的 Linux 分區映像上進行文件分析:

映像的分析

它將從所給映像中提取所有的文件和文件夾。在下圖中也展示了已被刪除的文件的提取:

已被刪除的文件

結論

希望這篇文章能夠給那些進入磁碟映像靜態分析領域的新手提供幫助。Autopsy 是 sleuth kit 的網頁界面,提供了在 Windows 和 Linux 磁碟映像中進行諸如字元串提取,恢復被刪文件,時間線分析,網路瀏覽歷史,關鍵字搜索和郵件分析等功能。

via: http://linoxide.com/ubuntu-how-to/autopsy-sleuth-kit-installation-ubuntu/

作者:nido 譯者:FSSlc 校對:wxy

本文由 LCTT 原創翻譯,Linux中國 榮譽推出


本文轉載來自 Linux 中國: https://github.com/Linux-CN/archive

對這篇文章感覺如何?

太棒了
0
不錯
0
愛死了
0
不太好
0
感覺很糟
0
雨落清風。心向陽

    You may also like

    Leave a reply

    您的電子郵箱地址不會被公開。 必填項已用 * 標註

    此站點使用Akismet來減少垃圾評論。了解我們如何處理您的評論數據

    More in:Linux中國