SIFT 是一個由 SANS 公司提供的基於 Ubuntu 的取證發行版。它包含許多取證工具,如 Sleuth kit/Autopsy 。但 Sleuth kit/Autopsy 可以直接在 Ubuntu 或 Fedora 發行版本上直接安裝,而不必下載 SIFT 的整個發行版本。
Sleuth Kit/Autopsy 是一個開源的電子取證調查工具,它可以用於從磁盤映像中恢復丟失的文件,以及為了特殊事件進行磁盤映像分析。 Autopsy 工具是 sleuth kit 的一個網頁接口,支持 sleuth kit 的所有功能。這個工具在 Windows 和 Linux 平台下都可獲取到。
首先,從 sleuthkit 的網站下載 Sleuth kit 軟件。使用下面的命令在虛擬終端下使用 wget 命令來下載它,下圖展示了這個過程。
# wget http://cznic.dl.sourceforge.net/project/sleuthkit/sleuthkit/4.1.3/sleuthkit-4.1.3.tar.gz使用下面的命令解壓 sleuthkit-4.1.3.tar.gz 並進入解壓後的目錄:
# tar -xvzf sleuthkit-4.1.3.tar.gz在安裝 sleuth kit 之前,運行下面的命令來執行所需的檢查:
# ./configure然後使用 Make 命令來編譯 sleuth kit :
# make最後,使用下面的命令將它安裝到 /usr/local 目錄下:
# make install
Sleuth kit 已經安裝完畢,現在我們將為它安裝 autopsy 界面。從 sleuthkit 的 autopsy 頁面下載 Autopsy 軟件。使用下面的命令在虛擬終端下使用 wget 命令來下載它,下圖展示了這個過程。
# wget http://kaz.dl.sourceforge.net/project/autopsy/autopsy/2.24/autopsy-2.24.tar.gz使用下面的命令解壓 autopsy-2.24.tar.gz 並進入解壓後的目錄:
# tar -xvzf autopsy-2.24.tar.gzautopsy 的配置腳本將詢問 NSRL (National Software Reference Library) 和 Evidence_Locker 文件夾的路徑。
當彈窗問及 NSRL 時,輸入 "n",並在 /usr/local 目錄下創建名為 EvidenceLocker 的文件夾。Autopsy 將在 EvidenceLocker 文件夾下存儲配置文件,審計記錄和輸出文件。
# mkdir /usr/local/Evidence_Locker# cd autopsy-2.24# ./configure在安裝過程中添加完 Evidence_Locker 的安裝路徑後, autopsy 在那裡存儲配置文件並展現如下的信息來運行 autopsy 程序。
在虛擬終端中鍵入 ./autopsy 命令來啟動 Sleuth kit 工具的圖形界面:
在浏覽器中鍵入下面的地址來訪問 autopsy 的界面:
http://localhost:9999/autopsy下圖展現了 autopsy 插件的主頁面:
在 autopsy 工具中,點擊 新案例 按鈕來開始進行分析。鍵入案例名稱,此次調查的描述和檢查人的姓名,下圖有具體的展示:
在接下來的網頁中,將展示在上一個的網頁中鍵入的詳細信息。接著點擊 增加主機 按鈕來添加有關要分析的機器的詳細信息。
在下一個網頁中鍵入主機名,相關的描述和要分析的機器的時區設置。
添加主機後,點擊 增加映像 按鈕來為取證分析添加映像文件。
在接下來的網頁中點擊 增加映像文件 按鈕。它將打開一個新的網頁,來詢問映像文件的路徑和選擇映像的類型以及導入的方法。
正如下圖中展示的那樣,我們已經鍵入了 Linux 映像文件的路徑。在我們這個例子中,映像文件類型是磁盤分區。
點擊“下一步”按鈕並在下一頁中選擇 計算散列值 的選項,這在下圖中有展示。它也將檢測所給映像的文件系統類型。
下面的圖片展示了靜態分析之前映像文件的 MD5 散列值。
在下一個網頁中, autopsy 展現了有關映像文件的如下信息:
點擊 詳情 按鈕來獲取更多有關所給映像文件的信息。它還提供了從映像文件的卷中導出未分配的片段和字符串的數據信息,這在下圖中有展現。
在下圖中那樣,點擊 分析 按鈕來開始分析所給映像。它將開啟另一個頁面,其中包含了映像分析的多個選項。
在映像分析過程中,Autopsy 提供了如下的功能:
下圖展示的是在給定的 Linux 分區映像上進行文件分析:
它將從所給映像中提取所有的文件和文件夾。在下圖中也展示了已被刪除的文件的提取:
希望這篇文章能夠給那些進入磁盤映像靜態分析領域的新手提供幫助。Autopsy 是 sleuth kit 的網頁界面,提供了在 Windows 和 Linux 磁盤映像中進行諸如字符串提取,恢復被刪文件,時間線分析,網絡浏覽歷史,關鍵字搜索和郵件分析等功能。
via: http://linoxide.com/ubuntu-how-to/autopsy-sleuth-kit-installation-ubuntu/
作者:nido 譯者:FSSlc 校對:wxy
本文由 LCTT 原創翻譯,Linux中國 榮譽推出
