THMAutopsy
Introduction
Autopsy 是什么?
Autopsy 是一个开源且功能强大的数字取证平台。Autopsy 中的多项功能由国土安全部科技资助开发。您可以在此处阅读更多相关信息。
官方描述:“Autopsy 是首屈一指的开源取证平台,它速度快、易于使用,能够分析所有类型的移动设备和数字媒体。其插件架构支持从社区开发或定制模块进行扩展。Autopsy 不断发展,以满足执法、国家安全、诉讼支持和公司调查领域数十万专业人士的需求。”
Workflow Overview and Case Analysis
Workflow Overview
在深入研究 Autopsy 并分析数据之前,需要执行几个步骤;例如识别数据源以及对数据源执行哪些 Autopsy 操作。
基本工作流程:
- 为要调查的数据源创建/打开案例
- 选择要分析的数据源
- 配置摄取模块以从数据源中提取特定工件
- 查看摄取模块提取的工件
- 创建报告
案例分析 | 创建新案例
要准备新的案例调查,您需要从数据源创建案例文件。启动 Autopsy 时,将有三个选项。您可以使用“新案例”选项创建新的案例文件。单击“新案例”选项后,将打开案例信息菜单,其中填充了有关案例的信息。
- 案例名称:您希望为案例指定的名称
- 基本目录:将存储与案例相关的所有文件的根目录(将显示完整路径)
- 案例类型:指定此案例是本地案例(单用户)还是托管在多个分析师可以查看的服务器上(多用户)
注意:在此房间中,重点是单用户。此外,房间不会模拟新案例的创建,并且给定的 VM 有一个示例案例文件来练习所涵盖的 Autopsy 功能。
以下屏幕标题为“可选信息”,出于我们的目的可以留空。在实际取证环境中,您应该填写此信息。单击“完成”后,Autopsy 将从给定的数据源创建一个新的案例文件。
案例分析 | 打开现有案例
Autopsy 还可以打开预建的案例文件。请注意,支持的数据源将在下一个任务中讨论。本部分旨在展示如何使用 Autopsy 创建/打开案例文件。
注意:Autopsy 案例文件的文件扩展名为“.aut”。
在此房间中,您将导入一个案例。要打开案例,请选择“打开案例”选项。导航到案例文件夹(位于桌面上)并选择要打开的 .aut 文件。接下来,Autopsy 将处理案例文件并打开案例。您可以在 Autopsy 窗口的左上角识别案例的名称。在下图中,此案例的名称为“示例案例”。
注意:如果 Autopsy 无法找到磁盘映像,则会出现一个警告框。此时,您可以指向它试图查找的磁盘映像的位置,也可以单击否;您仍然可以分析 Autopsy 案例中的数据。
一旦你想要分析的案例打开了,你就可以开始探索数据了。
Data Sources
数据源
Autopsy 可以分析多种磁盘映像格式。在深入数据分析步骤之前,让我们简要介绍一下 Autopsy 可以分析的不同数据源。您可以使用“添加数据源”按钮添加数据源。可用选项如下图所示。
Autopsy - 数据源
在本课程中,我们将主要关注磁盘映像或 VM 文件选项。
支持的磁盘映像格式:
原始单个(例如:*.img、*.dd、*.raw、*.bin)
原始分割(例如:*.001、*.002、*.aa、*.ab 等)
EnCase(例如:*.e01、*.e02 等)
虚拟机(例如:*.vmdk、*.vhd)
如果有多个映像文件(例如 E01、E02、E03 等),Autopsy 只需要您指向第一个映像文件,Autopsy 将处理其余部分。
注意:请参阅 Autopsy文档以了解可以添加到案例的其他数据源。
Ingest Modules
采集模块
采集模块本质上是 Autopsy 插件。每个采集模块都旨在分析和检索驱动器中的特定数据。您可以通过选择仪表板上可用的目标数据源,将 Autopsy 配置为在源添加阶段或稍后运行特定模块。默认情况下,采集模块配置为在所有文件、目录和未分配空间上运行。您可以在模块选择步骤中更改此设置。您可以通过右下角出现的栏来跟踪该过程。
以下屏幕截图模拟了上述两种使用采集模块的不同方法。请注意,使用采集模块需要时间来实现。因此,我们不会在本部分介绍采集模块。
注意:Autopsy 将有关文件的元数据添加到本地数据库,而不是实际文件内容。
在添加数据源时配置采集模块:
在添加数据源后使用采集模块:
- 右键单击数据源,打开“运行摄取模块”菜单。
- 选择要实现的模块并单击完成按钮。
- 追踪实施进度。
您选择针对数据源运行的任何摄取模块的结果都将填充树视图中的结果节点,树视图是 Autopsy 用户界面的左侧窗格。下面是使用“有趣文件标识符”摄取模块的示例。请注意,结果取决于数据集。如果您选择一个模块来检索驱动器中不可用的特定数据,则不会有任何结果。
将注意力拉回到“配置摄取模块”窗口,请注意某些摄取模块具有每次运行设置,而有些则没有。例如,关键字搜索摄取模块没有每次运行设置。相反,有趣的文件查找器摄取模块有。黄色三角形代表“每次运行设置选项”。
摄取模块运行时,警报可能会出现在摄取收件箱中。以下是几个采集模块运行完成后采集收件箱的示例。
要了解有关采集模块的更多信息,请阅读此处的尸检文档。
The User Interface I
The User Interface I
让我们看一下 Autopsy 用户界面,它由 5 个主要区域组成:
Tree Viewer
树查看器有五个顶级节点:
- 数据源 - 所有数据都将按照您在普通 Windows 文件资源管理器中通常看到的方式进行组织。
- 视图 - 文件将根据文件类型、MIME 类型、文件大小等进行组织。
- 结果 - 如前所述,这是 Ingest Modules 的结果出现的地方。
- 标签 - 将显示已标记的文件和/或结果(在此处阅读有关标记的更多信息)。
- 报告 - 将显示由模块或分析师生成的报告(在此处阅读有关报告的更多信息)。
Result Viewer
注意:不要将结果节点(来自树形查看器)与结果查看器混淆。
从树形查看器中选择卷、文件、文件夹等时,结果查看器中将显示有关所选项目的其他信息。例如,选择了示例案例的数据源,现在结果查看器中将显示其他信息。
如果选择了卷,结果查看器的信息将会改变,以反映所选卷的本地数据库中的信息。
请注意,结果查看器窗格有三个选项卡:表格、缩略图和摘要。上面的屏幕截图反映了表格选项卡中显示的信息。缩略图选项卡最适合处理图像或视频文件。如果将上述数据的视图从表格更改为缩略图,则不会显示太多信息。见下文。
卷节点可以扩展,并且分析师可以像典型的 Windows 系统一样浏览卷的内容。
在视图树节点中,文件按文件类型分类 - 按扩展名、按 MIME 类型、已删除文件和按文件大小。
提示:当涉及文件类型时,请注意此部分。攻击者可以使用误导性文件扩展名重命名文件。因此,文件将按扩展名“错误分类”,但将按 MIME 类型进行适当分类。展开“按扩展名”后,将出现更多子节点,从而进一步对文件进行分类(见下文)。
有关更多信息,请参阅结果查看器上的 Autopsy 文档。
Contents Viewer
在结果查看器的表格选项卡中,如果您单击任何文件夹/文件,则会在内容查看器窗格中显示其他信息。
在给定的图像中,三列可能不能很快理解它们代表什么。
S = 标记
分数将显示一个红色感叹号,表示文件夹/文件被标记为值得注意,以及一个向下的黄色三角形,表示文件夹/文件被标记为可疑。这些项目可以由摄取模块或分析师标记/标记。
C = 评论
如果评论列中显示黄色页面,则表示文件夹/文件有评论。
O = 发生
简而言之,此列将指示此文件/文件夹在过去的案例中出现过多少次(这需要中央存储库)
有关更多信息,请参阅内容查看器上的 Autopsy 文档。
Keyword Search
在右上角,您将看到关键字列表和关键字搜索。借助关键字搜索,分析师可以执行 AD-HOC 关键字搜索。
在上图中,分析师搜索单词“秘密”。以下是搜索结果。
有关使用任一选项执行关键字搜索的更多信息,请参阅 Autopsy 文档。
Status Area
最后,状态区位于右下角。当 Ingest 模块运行时,此区域将显示进度条(以及完成的百分比)。如果您单击该栏,则会提供有关 Ingest 模块的更多详细信息。
如果单击 X(进度条旁边),将出现提示,确认您是否希望结束/取消 Ingest 模块。
请参阅此处的 UI 概述中的 Autopsy文档。
The User Interface II
The User Interface II
让我们看看在哪里可以轻松找到汇总信息。汇总信息可以帮助分析师通过评估可用的工件来决定重点关注何处。建议在开始调查之前查看数据源的摘要。这样您就可以对系统和工件有一个大致的了解。
Data Sources Summary
数据源摘要提供了九个不同类别的汇总信息。请注意,这是对总体调查结果的概述。如果您想深入了解调查结果并寻找特定的人工制品,则需要使用上一个任务中显示的“结果查看器”分别分析每个模块。
Generate Report
您可以以多种格式创建调查结果报告,从而为调查案例创建数据表。报告提供“结果查看器”窗格下列出的所有信息。报告可以帮助您在完成实时调查后重新调查调查结果。但是,报告没有其他搜索选项,因此您必须手动查找感兴趣事件的工件。
提示:对于资源较少的系统,Autopsy 工具可能很重。因此,在资源较少的情况下使用 Autopsy 完成调查可能会很慢且很痛苦。特别是浏览长结果可能会导致系统冻结。您可以使用报告来避免这种情况。您可以使用该工具解析数据并生成报告,然后继续分析生成的报告,而无需 Autopsy。请注意,使用 GUI 进行和管理调查总是更容易。
您可以使用“生成报告”选项来创建报告。步骤如下所示。
一旦您选择了报告格式和范围,Autopsy 将生成报告。您可以点击“HTML 报告”部分(如上所示)在浏览器中查看报告。报告包含左侧“结果查看器”窗格中的所有结果。
Visualisation Tools
Visualisation Tools
您可能已经注意到,用户界面的其他部分尚未讨论。
请参阅 Autopsy 文档以了解以下可视化工具:
- Images/Videos: http://sleuthkit.org/autopsy/docs/user-docs/4.12.0/image_gallery_page.html
- Communications: http://sleuthkit.org/autopsy/docs/user-docs/4.12.0/communications_page.html
- Timeline: http://sleuthkit.org/autopsy/docs/user-docs/4.12.0/timeline_page.html
注意:在附加的 VM 中,您将无法使用某些可视化工具进行练习,时间线除外。以下是时间线的屏幕截图。
时间线工具由三个区域组成:
- 过滤器:根据过滤条件缩小显示的事件范围
- 事件:根据查看模式在此处显示事件
- 文件/内容:此区域显示有关事件的其他信息
有三种查看模式:
- 计数:以条形图视图显示事件数量
- 详细信息:显示事件信息,但信息聚集并折叠,因此 UI 不会超载
- 列表:以表格视图显示事件
在上面的屏幕截图中,查看模式为计数。下面是详细信息查看模式的屏幕截图。
这些数字(如上所示)表示特定时间范围内聚集/折叠事件的数量。例如,对于 /Windows,2009-06-10 至 2010-03-18 之间有 130,257 个事件。参见下图。
要展开集群,请单击“带有加号的绿色图标”。请参阅以下示例。
要折叠事件,请单击“带有减号的红色图标”。如果您希望固定一组事件,请单击“带有加号的地图标记图标”。这会将事件移动(固定)到事件视图的独立部分。
要取消固定事件,请单击“带有减号的地图标记”。最后一组要覆盖的图标是“眼睛”图标。如果您希望从事件视图中隐藏一组事件,请单击“带有减号的眼睛”。在下面的屏幕截图中,/Boot 的群集事件被隐藏并放置在“隐藏描述”(在过滤器区域中)中。
如果您希望撤消该操作并取消隐藏事件,请右键单击并选择“取消隐藏并从列表中删除”。请参阅以下示例。
最后但同样重要的一点是,下面是列表视图模式的屏幕截图。
这些信息应该足以让您以一定程度的信心开始与时间线进行交互。
Conclusion
总而言之,Autopsy 还有更多未在本房间详细介绍的内容。以下是一些您应该自行探索的主题,以便配置 Autopsy 以执行更多开箱即用的操作:
- 全局哈希查找设置
- 全局文件扩展名不匹配识别设置
- 全局关键字搜索设置
- 全局有趣项目设置
- Yara 分析器
Autopsy 有第三方 模块 可用。请访问官方 SleuthKit GitHub 存储库,获取第三方模块列表 此处。此房间开发中使用的磁盘映像是由 NIST 在 计算机取证参考数据集 (CFReDS) 项目 下创建和发布的。建议下载磁盘映像,完成完整练习 (此处) 以练习使用 Autopsy,并提升您的调查技术。
现在,我们邀请您完成 Autopsy 挑战房间:磁盘分析和 Autopsy。
此外,如果您想扩展您在“Windows 取证”领域的知识,请务必访问 THM 上的以下房间: