Autopsy
2026/5/29工具工具磁盘取证Autopsy大约 4 分钟
Autopsy
链接
是什么
Autopsy 是图形化数字取证平台,适合分析磁盘镜像、文件系统、删除文件、浏览器痕迹和时间线。
CTF 中常见输入:
.img.dd.E01- 虚拟磁盘文件
安装与配置
Windows/macOS/Linux 可从官网下载安装:
https://www.autopsy.com/Linux 也可用包管理器或源码方式安装,但教学环境建议用官方安装包或取证虚拟机。
基本用法
新建 Case
New Case -> 填写名称 -> 选择目录添加数据源
Add Data Source -> Disk Image or VM File常看位置
File Views
Deleted Files
Keyword Search
Timeline
Web Artifacts
Extracted Content分析模块
文件分析
File Views:
- 已删除文件
- 文件类型
- 文件大小
- 文件时间
Deleted Files:
- 从文件系统删除
- 从回收站清除
- 文件雕刻恢复关键词搜索
Keyword Search:
- 单个关键词
- 正则表达式
- 列表搜索
- 布尔搜索
常用关键词:
flag
password
secret
key
admin
login时间线分析
Timeline:
- 文件创建时间
- 文件修改时间
- 文件访问时间
- 元数据变化
- 事件排序Web 工件
Web Artifacts:
- 浏览器历史
- 下载记录
- Cookie
- 书签
- 搜索记录邮件分析
Email:
- Outlook 邮件
- Thunderbird 邮件
- 附件提取
- 联系人注册表分析
Registry:
- 系统信息
- 用户信息
- 网络配置
- USB 设备
- 安装程序CTF常用技巧
先看删除文件
很多入门题把 flag 文件删除后留在镜像里:
Deleted Files -> 搜索 txt/png/zip关键词搜索
flag
password
secret
key
admin时间线分析
如果题目是应急响应或攻击溯源,看 Timeline 里的文件创建、修改、访问顺序。
导出文件
右键可疑文件导出,再用 file、strings、binwalk 继续分析。
分析流程
1. 新建 Case
2. 添加数据源
3. 关键词搜索
4. 查看删除文件
5. 分析时间线
6. 查看 Web 工件
7. 导出可疑文件
8. 深入分析文件系统分析
NTFS:
- MFT 记录
- 文件属性
- 交替数据流
- 文件恢复
FAT:
- FAT 表
- 目录项
- 簇链
- 删除文件
EXT:
- inode
- 超级块
- 块组
- 文件恢复提取证据
1. 右键可疑文件
2. 选择 Export
3. 选择保存位置
4. 记录文件路径和哈希
5. 使用工具继续分析哈希验证
1. 计算镜像哈希
2. 记录原始哈希
3. 分析过程中验证
4. 确保证据完整性分析模块详解
Recent Activity
分析内容:
- 最近访问的文件
- 最近运行的程序
- USB 设备连接记录
- 网络连接记录
使用场景:
- 确定用户行为
- 追踪文件访问
- 分析设备使用Hash Lookup
功能:
- 已知恶意文件哈希
- NSRL 数据库
- 自定义哈希列表
使用场景:
- 快速识别已知恶意文件
- 过滤正常系统文件
- 重点分析未知文件Email Analysis
功能:
- 解析邮件格式
- 提取附件
- 分析联系人
- 搜索邮件内容
使用场景:
- 邮件取证
- 附件分析
- 通信记录常见问题
解析很慢
磁盘镜像大时很正常。先限制 ingest 模块,或用命令行工具做第一轮筛查。
找不到 flag
不要只搜 flag。查看删除文件、浏览器缓存、压缩包、图片、日志和用户目录。
Autopsy 和 foremost 区别
Autopsy 偏完整取证和时间线;foremost 偏按文件特征雕刻恢复。
内存不足
1. 使用 64 位版本
2. 增加系统内存
3. 减少同时分析的数据源
4. 使用 SSD 存储支持的格式
磁盘镜像:
- RAW (.img, .dd)
- EnCase (.E01)
- VMDK
- VHD
- AFF
文件系统:
- NTFS
- FAT12/16/32
- EXT2/3/4
- HFS+
- UFS导出失败
1. 检查磁盘空间
2. 检查文件权限
3. 尝试不同导出位置
4. 检查文件是否被锁定关联
- 磁盘镜像与文件恢复
- 日志分析基础
- foremost
- file
- Volatility