Sleuth Kit中文使用教程1.4 Sleuth Kit下載安裝
下載
The SleuthKit的版本4.8.0(2020年1月24日):
其他版本和GPG簽名可在以下位置找到:
- 版本4.3.0及更高版本:GitHub
- 版本4.2.0和更早版本:Source Forge
Sleuth Kit可與 Autopsy配合使用,可在此處下載。
安裝
安裝 Sleuth kit
首先,下載 Sleuth kit 軟件。使用下面的命令在虛擬終端下使用 wget 命令來下載它,下圖展示了這個過程。
# wget http://cznic.dl.sourceforge.net/project/sleuthkit/sleuthkit/4.1.3/sleuthkit-4.1.3.tar.gz
使用下面的命令解壓 sleuthkit-4.1.3.tar.gz 并進入解壓后的目錄:
# tar -xvzf sleuthkit-4.1.3.tar.gz
在安裝 sleuth kit 之前,運行下面的命令來執行所需的檢查:
# ./configure
然后使用 Make 命令來編譯 sleuth kit :
# make
最后,使用下面的命令將它安裝到 /usr/local 目錄下:
# make install
安裝 Autopsy 工具
Sleuth kit 已經安裝完畢,現在我們將為它安裝 autopsy 界面。從 sleuthkit 的 autopsy 頁面下載 Autopsy 軟件。使用下面的命令在虛擬終端下使用 wget 命令來下載它,下圖展示了這個過程。
# wget http://kaz.dl.sourceforge.net/project/autopsy/autopsy/2.24/autopsy-2.24.tar.gz
使用下面的命令解壓 autopsy-2.24.tar.gz 并進入解壓后的目錄:
# tar -xvzf autopsy-2.24.tar.gz
autopsy 的配置腳本將詢問 NSRL (National Software Reference Library) 和 Evidence_Locker 文件夾的路徑。
當彈窗問及 NSRL 時,輸入 “n”,并在 /usr/local 目錄下創建名為 EvidenceLocker 的文件夾。Autopsy 將在 EvidenceLocker 文件夾下存儲配置文件,審計記錄和輸出文件。
# mkdir /usr/local/Evidence_Locker# cd autopsy-2.24# ./configure
在安裝過程中添加完 Evidence_Locker 的安裝路徑后, autopsy 在那里存儲配置文件并展現如下的信息來運行 autopsy 程序。
在虛擬終端中鍵入 ./autopsy 命令來啟動 Sleuth kit 工具的圖形界面:
在瀏覽器中鍵入下面的地址來訪問 autopsy 的界面:
http://localhost:9999/autopsy
下圖展現了 autopsy 插件的主頁面:
在 autopsy 工具中,點擊 新案例 按鈕來開始進行分析。鍵入案例名稱,此次調查的描述和檢查人的姓名,下圖有具體的展示:
在接下來的網頁中,將展示在上一個的網頁中鍵入的詳細信息。接著點擊 增加主機 按鈕來添加有關要分析的機器的詳細信息。
在下一個網頁中鍵入主機名,相關的描述和要分析的機器的時區設置。
添加主機后,點擊 增加映像 按鈕來為取證分析添加映像文件。
在接下來的網頁中點擊 增加映像文件 按鈕。它將打開一個新的網頁,來詢問映像文件的路徑和選擇映像的類型以及導入的方法。
正如下圖中展示的那樣,我們已經鍵入了 Linux 映像文件的路徑。在我們這個例子中,映像文件類型是磁盤分區。
點擊“下一步”按鈕并在下一頁中選擇 計算散列值 的選項,這在下圖中有展示。它也將檢測所給映像的文件系統類型。
下面的圖片展示了靜態分析之前映像文件的 MD5 散列值。
在下一個網頁中, autopsy 展現了有關映像文件的如下信息:
- 映像的掛載點
- 映像的名稱
- 所給映像的文件系統類型
點擊 詳情 按鈕來獲取更多有關所給映像文件的信息。它還提供了從映像文件的卷中導出未分配的片段和字符串的數據信息,這在下圖中有展現。
在下圖中那樣,點擊 分析 按鈕來開始分析所給映像。它將開啟另一個頁面,其中包含了映像分析的多個選項。
在映像分析過程中,Autopsy 提供了如下的功能:
- 文件分析
- 關鍵字搜索
- 文件類型
- 映像詳情
- 數據單元
下圖展示的是在給定的 Linux 分區映像上進行文件分析:
它將從所給映像中提取所有的文件和文件夾。在下圖中也展示了已被刪除的文件的提取:
推薦文章: