总结最近在做的信安实验-Autopsy工具的使用
笔者对其进行一个总结
实验基础
该实验是在在线平台提供的kali虚拟机上完成的
需在kali中的浏览器下载对应测试文件:测试文件下载地址
进行实验
实验步骤
启动autopsy
首先在工具中找到autopsy
点击后会弹出来一个终端,其中里面有一个url,右键url之后点击open link
启动autopsy如图
创建“项目”
点击其中的new case
在表中填入相应信息
添加检测文件
点击其中的add image file
找到刚才下载文件的路径
将路径等对应信息填写到下面
进行校验
选择校验hash值,然后点add
hash值已经被显示出来
点击浏览器的返回按钮就可以返回先前的界面继续分析
在分析之前我们可以通过MD5hash校验镜像的完整性,点击image integrity即可
Pass 通过了完整性校验
深度校验
点击上面的image details菜单
可以看到版本等详细信息,接下来点击file analysis
进入了文件浏览模式,可以查看镜像中的文件夹和文件,在主视区域可以可以看到项目的权限、大小、metadata等
扩展名检查
要查看删除的文件,可以点击all deleted files按钮
删除的文件在主视图区域被用红色字体标记
拉到最右边,点击meta下的链接
可以看到详细的信息。包括16进制的数据以及扩展名等
比如我们从图中可以看到原来的扩展名很奇怪,hmm
点击第一个1705
生成了对应的ascii码
可以看到JPEG文件格式的特征。这意味着file7.hmm可能是一个jpeg文件,只不过扩展名被修改了
查看每个文件的元数据metadata并不现实,此时可以用到file type的功能
点击上面的file type一栏即可
点击左侧的sortfiles by type,以及右侧的ok
排序结束之后,归纳的结果就出来了
也可以通过打开网页的方式
点击左侧的view sorted files查看排序后的文件
将相应的url放入浏览器进行执行
可以点击链接,查看对应详情
