今天给大家推荐一个数字取证工具:Autopsy(尸检)
Autopsy是端到端开源数字取证平台。Autopsy 由 Basis Technology 构建,具有您期望的商业取证工具的核心功能,是一种快速、彻底、高效的硬盘调查解决方案,可根据您的需求不断发展。
Autopsy开发由 Brian Carrier 领导,他的团队为入侵、犯罪现场和战区的网络急救人员构建了易于使用的工具。团队还开发了 Cyber Triage,这是一种快速且经济实惠的事件响应软件,任何组织都可以使用它来快速调查受损端点。
官网地址:https://www.autopsy.com/
Autopsy 的 4.21 版本新功能:
内嵌关键字搜索
关键字搜索模块有一个新功能,允许您不填充 Solr 索引,这意味着提取速度更快(但以后的搜索会更慢)。
Autopsy 中关键字搜索的传统方式是:
从文件中提取文本
将文本添加到 Solr,这会将其分解为单词(标记)
定期搜索索引
当您想要对数据执行多次搜索时,这非常有用,因为以后的每次搜索都会很快。但是,当您可能只有一组关键字并且您想为它们分类设备时,这是一种浪费。
现在,您可以通过以下过程进行搜索:
从文件中提取文本
在提取管道中搜索文本中的关键字
但是,如果您后来意识到有更多关键字要搜索,则必须重新运行提取并读入所有文件内容。
否则,用户体验几乎相同。您将在左侧的树中看到结果,并能够看到底部突出显示的文本。
您可以在提取期间选择是否要将文本添加到索引。默认是添加文本。
需要注意的是,Solr 索引中仍保留少量文本。任何具有关键字命中的文件都将添加到索引中,以便以后可以查看。
网络分类恶意软件扫描模块
该模块将扫描可执行文件中是否存在恶意软件。该模块与Autopsy 中的其他模块有点不同,因为它需要商业许可证才能使用。
传统的用例是,您想知道磁盘映像是否有后门和远程访问,有人可以利用这些后门和远程访问来植入证据。一些实验室会将磁盘映像安装为本地驱动器并使用本地 AV 扫描它们。这通常有效,但受到以下限制:
单个扫描仪的结果
如果恶意软件运行,可能会感染审查员系统
新的Autopsy 模块将使用 Cyber Triage 的 40 多个恶意软件扫描引擎,并且可执行文件不会写入磁盘。此服务不使用 VirusTotal,因此如果上传文件,它们不会向全世界广播。
逻辑文件时间戳
历史上,当您导入文件文件夹时,Autopsy 会忽略时间戳。那是因为这些文件上的时间可以是任何东西。尸检从来不知道它们是否准确。
Autopsy 仍然不知道它们是否准确,但它现在可以让您选择要复制的时间戳。您可以选择导入文件上的修改、创建或访问时间,并将其存储在数据库中。
上述面板的另一个变化是,您可以在添加文件或文件夹条目之前删除顶部表格中的文件或文件夹条目。
软件免费下载地址:https://www.autopsy.com/download/