14、数字取证工具Autopsy与Xplico使用指南

数字取证工具Autopsy与Xplico使用指南

在数字取证领域，Autopsy和Xplico是两款功能强大的工具。Autopsy可用于分析硬盘和设备上的数字证据，而Xplico则专注于从网络和互联网捕获中提取工件。下面将详细介绍这两款工具的使用方法。

Autopsy的使用

准备工作

我们将使用的文件是 terry-work-usb-2009-12-11.E01 ，请务必记录下载的样本文件的位置，后续操作会用到。在调查硬盘和设备时，要始终遵循正确的采集程序，并使用写保护设备，避免篡改原始证据。

Autopsy的功能特点

Autopsy基于The Sleuth Kit，在Kali Linux中，Autopsy 2.4版本提供了以下官方功能：
| 功能 | 描述 |
| ---- | ---- |
| 图像分析 | 分析目录和文件，包括文件排序、恢复删除文件和预览文件 |
| 文件活动时间线 | 根据文件的写入、访问和创建时间戳创建时间线 |
| 图像完整性 | 为使用的图像文件以及单个文件创建MD5哈希值 |
| 哈希数据库 | 将未知文件（如疑似恶意的.exe文件）的数字哈希或指纹与NIST国家软件参考库（NSRL）中的进行匹配 |
| 事件排序器 | 按日期和时间显示排序后的事件 |
| 文件分析 | 分析整个图像文件，显示目录和文件信息及内容 |
| 关键字搜索 | 允许使用关键字和预定义表达式列表进行搜索 |
| 元数据分析 | 允许查看文件的元数据详细信息和结构，这对数据恢复至关重要 |