首頁 > 軟體

Sleuth Kit:一個用來分析磁碟映像和恢復檔案的開源取證工具

2020-06-16 17:59:29

SIFT 是一個由 SANS 公司提供的基於 Ubuntu 的取證發行版。它包含許多取證工具,如 Sleuth kit/Autopsy 。但 Sleuth kit/Autopsy 可以直接在 Ubuntu 或 Fedora 發行版本上直接安裝,而不必下載 SIFT 的整個發行版本。

Sleuth Kit/Autopsy 是一個開源的電子取證調查工具,它可以用於從磁碟映像中恢復丟失的檔案,以及為了特殊事件進行磁碟映像分析。 Autopsy 工具是 sleuth kit 的一個網頁介面,支援 sleuth kit 的所有功能。這個工具在 Windows 和 Linux 平台下都可獲取到。

 

安裝 Sleuth kit

首先,從 sleuthkit 的網站下載 Sleuth kit 軟體。使用下面的命令在虛擬終端下使用 wget 命令來下載它,下圖展示了這個過程。

  1. # wget http://cznic.dl.sourceforge.net/project/sleuthkit/sleuthkit/4.1.3/sleuthkit-4.1.3.tar.gz

使用下面的命令解壓 sleuthkit-4.1.3.tar.gz 並進入解壓後的目錄:

  1. # tar -xvzf sleuthkit-4.1.3.tar.gz

在安裝 sleuth kit 之前,執行下面的命令來執行所需的檢查:

  1. # ./configure

然後使用 Make 命令來編譯 sleuth kit :

  1. # make

最後,使用下面的命令將它安裝到 /usr/local 目錄下:

  1. # make install

 

安裝 Autopsy 工具

Sleuth kit 已經安裝完畢,現在我們將為它安裝 autopsy 介面。從 sleuthkit 的 autopsy 頁面下載 Autopsy 軟體。使用下面的命令在虛擬終端下使用 wget 命令來下載它,下圖展示了這個過程。

  1. # wget http://kaz.dl.sourceforge.net/project/autopsy/autopsy/2.24/autopsy-2.24.tar.gz

使用下面的命令解壓 autopsy-2.24.tar.gz 並進入解壓後的目錄:

  1. # tar -xvzf autopsy-2.24.tar.gz

autopsy 的設定指令碼將詢問 NSRL (National Software Reference Library) 和 Evidence_Locker 資料夾的路徑。

當彈窗問及 NSRL 時,輸入 "n",並在 /usr/local 目錄下建立名為 EvidenceLocker 的資料夾。Autopsy 將在 EvidenceLocker 資料夾下儲存組態檔,審計記錄和輸出檔案。

  1. # mkdir /usr/local/Evidence_Locker
  2. # cd autopsy-2.24
  3. # ./configure

在安裝過程中新增完 Evidence_Locker 的安裝路徑後, autopsy 在那裡儲存組態檔並展現如下的資訊來執行 autopsy 程式。

在虛擬終端中鍵入 ./autopsy 命令來啟動 Sleuth kit 工具的圖形介面:

在瀏覽器中鍵入下面的地址來存取 autopsy 的介面:

  1. http://localhost:9999/autopsy

下圖展現了 autopsy 外掛的主頁面:

在 autopsy 工具中,點選 新案例 按鈕來開始進行分析。鍵入案例名稱,此次調查的描述和檢查人的姓名,下圖有具體的展示:

在接下來的網頁中,將展示在上一個的網頁中鍵入的詳細資訊。接著點選 增加主機 按鈕來新增有關要分析的機器的詳細資訊。

在下一個網頁中鍵入主機名,相關的描述和要分析的機器的時區設定。

新增主機後,點選 增加映像 按鈕來為取證分析新增映像檔案。

在接下來的網頁中點選 增加映像檔案 按鈕。它將開啟一個新的網頁,來詢問映像檔案的路徑和選擇映像的型別以及匯入的方法。

正如下圖中展示的那樣,我們已經鍵入了 Linux 映像檔案的路徑。在我們這個例子中,映像檔案型別是磁碟分割區。

點選“下一步”按鈕並在下一頁中選擇 計算雜湊值 的選項,這在下圖中有展示。它也將檢測所給映像的檔案系統型別。

下面的圖片展示了靜態分析之前映像檔案的 MD5 雜湊值。

在下一個網頁中, autopsy 展現了有關映像檔案的如下資訊:

  • 映像的掛載點
  • 映像的名稱
  • 所給映像的檔案系統型別

點選 詳情 按鈕來獲取更多有關所給映像檔案的資訊。它還提供了從映像檔案的卷中匯出未分配的片段和字串的資料資訊,這在下圖中有展現。

在下圖中那樣,點選 分析 按鈕來開始分析所給映像。它將開啟另一個頁面,其中包含了映像分析的多個選項。

在映像分析過程中,Autopsy 提供了如下的功能:

  • 檔案分析
  • 關鍵字搜尋
  • 檔案型別
  • 映像詳情
  • 資料單元

下圖展示的是在給定的 Linux 分割區映像上進行檔案分析:

它將從所給映像中提取所有的檔案和資料夾。在下圖中也展示了已被刪除的檔案的提取:

 

結論

希望這篇文章能夠給那些進入磁碟映像靜態分析領域的新手提供幫助。Autopsy 是 sleuth kit 的網頁介面,提供了在 Windows 和 Linux 磁碟映像中進行諸如字串提取,恢復被刪檔案,時間線分析,網路瀏覽歷史,關鍵字搜尋和郵件分析等功能。

via: http://linoxide.com/ubuntu-how-to/autopsy-sleuth-kit-installation-ubuntu/

作者:nido 譯者:FSSlc 校對:wxy

本文由 LCTT 原創翻譯,Linux中國 榮譽推出

本文永久更新連結地址http://www.linuxidc.com/Linux/2015-05/118236.htm


相關文章
IT145.com E-mail:sddin#qq.com