使用Autopsy进行磁盘采集和取证

使用Autopsy进行磁盘采集和取证

作者 应急响应

Autopsy 是目前最主流的端到端开源数字取证平台,由 Basis Technology 开发维护。说白了,它把商业取证工具里那些核心功能都搬进来了,还是免费的。不管是 Windows、Linux 还是 Android 的文件系统,Autopsy 都能解析,在速度和覆盖面上完全能满足日常应急响应和取证调查的需求。

官网:https://www.autopsy.com/

Autopsy主要功能

从应急响应的角度来看,Autopsy 有几个功能是真的很实用:

  • 多人协作:处理复杂案子的时候,团队里不同的分析人员可以同时介入同一个案例,互不干扰,协同推进。
  • 时间线分析:把系统事件用图形化的方式呈现出来,直观地还原事件发生的顺序和时间节点,这在溯源分析里特别关键。
  • 关键词搜索:内置了文本提取和索引搜索模块,不管是找特定关键词还是正则匹配,都能快速定位相关文件。
  • 浏览器痕迹提取:能从主流浏览器里把用户的上网记录扒出来,对于判断用户行为或者追踪恶意访问路径很有帮助。
  • 注册表解析:直接提取 Windows 注册表里的取证数据。
  • 邮件分析:解析磁盘上残留的邮件数据,包括已删除的部分。
  • Unicode 字符串提取:能从未分配空间和未知文件类型里提取多语言字符串,这在找隐藏数据或者分析恶意文件时经常用到。
  • 文件类型识别:通过文件签名来判断真实类型,同时检测扩展名伪造的情况——这是很多攻击者惯用的手法。
  • 可疑文件标记:根据文件名和路径规则自动标记可疑文件,减少人工排查的工作量。
  • Android 数据提取:能从短信、通话记录、联系人,以及 Tango、Words with Friends 等应用里提取数据。

工具下载地址:https://github.com/sleuthkit/autopsy/releases

新建案件

下载安装完成后,以管理员身份运行 Autopsy,这一步不能省,否则部分磁盘读取权限会受限。

启动后进入主界面,点击 “New Case” 开始一个新的调查案例。系统会要求填写案例名称和案例文件的存储路径。

接下来还有一个步骤很多人会跳过,但在正式的应急响应场景里不建议跳——填写案例的附加信息,比如调查编号、负责人、案例描述等。

这些信息是维护证据链的基础,后续如果案件需要出证或者交接给其他团队,这部分内容会非常重要。

选择数据源

案例信息填完,点 Finish 之后,Autopsy 会弹出数据源选择窗口。

这里有两个典型场景:

  • 分析已有的磁盘镜像:如果之前已经用 FTK Imager 或者其他工具采集了一份磁盘镜像文件,直接选第一个选项导入即可。
  • 直接分析本地磁盘:如果正在对一台疑似受损的机器进行现场应急,需要直接分析它的本地磁盘,就选第二个选项。

选完数据源类型后,进入磁盘选择界面,需要指定要分析的目标磁盘,同时设置取证时间线的时区。这个时区建议和被调查计算机的系统时区保持一致,不然事件时间线会出现偏移,影响溯源判断。

另外,这个界面还有一个选项:“Make a VHD image of the drive while it is analyzed”,勾上之后 Autopsy 会在分析的同时生成磁盘的 VHD 镜像备份,如果后续需要保留证据原始副本,可以开启。

配置摄取插件

点击下一步之后,会进入 Autopsy 最核心的配置环节——Ingest 插件配置

这里可以选择让 Autopsy 在分析磁盘时跑哪些解析模块。举个例子,勾选”Email Parser”之后,Autopsy 会遍历磁盘上的日志、文件、程序目录甚至已删除的未分配空间,把所有能找到的邮件数据都提取出来。

按需选择插件,点 Next,分析就会开始跑起来,结果会实时呈现。

查看分析结果

分析完成后,Autopsy 会把结果按类别整理好,左侧导航栏里可以直接按分类浏览。举几个在应急响应中比较常看的:

OS Accounts(系统账户):直接列出当前系统上存在的所有用户,可以快速判断是否有异常账户或者新建的本地账户。

Recent Documents(最近访问文档):这个和 Windows 注册表取证里讲的 Recent Documents 是同一类数据,Autopsy 把它可视化地展示出来,方便了解用户近期的操作行为。

Images/Videos(图片/视频):可以浏览磁盘上所有的图像和视频文件,对于某些特殊案件类型会用到。

这里我演示用的是虚拟机磁盘,数据量比较少。实际处理一台用户主机或者服务器时,各类数据会多得多,分析时间也会相应拉长。

现场快速研判功能

这个功能在现场应急里特别值得一提。

Autopsy 支持将自身的工具集和运行脚本预先部署到一个 USB 移动介质里,制作成现场研判盘。到了现场之后,应急响应人员可以把 USB 插到目标机器上,直接运行脚本,Autopsy 就会自动对该机器进行数据采集和初步研判,不需要在目标机器上安装任何东西。

这对于需要快速响应、不能污染现场环境的场景非常实用,比如企业内部的安全事件处置,或者需要在不关机状态下做活体取证的情况。

总结

Autopsy 在取证工具里算是兼顾了易用性和功能深度的一个选择,图形界面友好,上手门槛不高,但背后的分析能力并不弱。对于应急响应团队来说,它既能用于快速的现场初步研判,也能支撑相对完整的磁盘取证分析流程。本文只是一个入门级的操作介绍,Autopsy 本身的功能远不止这些,更深入的用法后续可以结合实战场景展开来讲。

Post Views: 20
赞赏

微信赞赏支付宝赞赏
Zgao

愿有一日,安全圈的师傅们都能用上Zgao写的工具。

发表评论