1、什么是Autopsy

Autopsy Forensic Browser 是數(shù)字取證工具-The Sleuth Kit（TSK）的圖形界面，一個用來分析磁盤映像和恢復(fù)文件的開源取證工具。提供在磁盤映像中進行字符串提取，恢復(fù)文件，時間軸分析，chrome，firefox等瀏覽歷史分析，關(guān)鍵字搜索和郵件分析等功能。

2、什么是dftt

網(wǎng)址：http://dftt.sourceforge.net/

dftt代表Digital Forensics Tool Testing Images。該網(wǎng)站包含用于測試數(shù)字（計算機）取證分析和采集工具的文件系統(tǒng)和磁盤鏡像。

3、 JPEG 搜索測試

此次測試鏡像是一個NTFS文件系統(tǒng)，里面包含10張JPEG圖片，圖片還嵌入了zip和word等文件。我們需要從中找出圖片和其他文件

4、步驟

1）下載測試鏡像

2）校驗測試鏡像

3）配置Autopsy

4）進行取證分析

5）恢復(fù)已刪除的文件

5、進行取證準(zhǔn)備工作

1）建立測試目錄

2）下載測試鏡像

下載第八個：http://dftt.sourceforge.net/test8/index.html

3）解壓文件

4）校驗鏡像

5）配置 Autopsy

從應(yīng)用程序里面啟動 Autopsy

訪問 http://localhost:9999/autopsy

5.1）選擇創(chuàng)建一個新的 CASE

5.2）然后填入一些信息，比如案件名字，描述等，然后點 NEW CASE

5.3）然后選擇"Add Host"，然后配置一些信息

5.4）然后點 ADD IMAGE添加鏡像

將鏡像路徑復(fù)制進去

粘貼路徑到 Autopsy里面，類型選 Partition(分區(qū))，導(dǎo)入方式選 Symlink(鏈接)

點下一步，然后設(shè)置一些參數(shù)，然后點 ADD

然后點 OK

然后點擊IMAGE INTEGRITY進行鏡像完整性檢查

查看 md5校驗和，應(yīng)該與之前我們用md5sum命令查看的是一致的，然后點 CLOSE

6、使用Autopsy 分析鏡像和恢復(fù)文件

1）點擊 ANALYZE 按鈕，進行分析

2）查看鏡像詳情

文件系統(tǒng)類型是 NTFS，還有卷序列號，此序列號應(yīng)該與原磁盤上的一致，這一點在法庭證據(jù)鏈上非常重要，以證明你分析的鏡像副本的卷序列號與原始磁盤是一致的。

系統(tǒng)類型是 windows xp

3）使用Autopsy查看文件分析詳細(xì)情況

3.1）查看所有已刪除的文件，點擊左下角的All Deleted Files

可以看到有兩個被刪除的文件，其中一個是 jpg文件：file6.jpg ，還有個后綴名hmm的file7是什么呢？

3.2）點擊 file6.jpg，可以看到 File Type 為 JPEG image data，然后導(dǎo)出文件

將文件保存到 /var/forensics/images目錄

3.3）添加一條記錄，點右下角的Add Note

輸入你的名字，日期，和一些其他的信息，然后點OK

可以查看記錄

3.4）查看已刪除文件 file7.hmm

點擊 左下角的 ALL DELETED FILES，然后點擊 file7.hmm

Autopsy分析出來是 JPEG文件，同樣選擇 Export導(dǎo)出保存到 /var/forensics/images目錄

然后點 Add Note添加一條記錄

3.5）再次對鏡像進行md5校驗

然后點擊 VALIDATE ，與原始的進行比較

這樣做的目的是證明你在取證過程中沒有破壞和修改過鏡像，如果被破壞和修改，在法律上，這個證據(jù)將會變得無效。

7、完成取證

1）關(guān)閉 FILE SYSTEM IMAGES

2）查看取證日志