Autopsy 是目前最主流的端到端开源数字取证平台，由 Basis Technology 开发维护。说白了，它把商业取证工具里那些核心功能都搬进来了，还是免费的。不管是 Windows、Linux 还是 Android 的文件系统，Autopsy 都能解析，在速度和覆盖面上完全能满足日常应急响应和取证调查的需求。

官网：https://www.autopsy.com/

Autopsy主要功能

从应急响应的角度来看，Autopsy 有几个功能是真的很实用：

• 多人协作：处理复杂案子的时候，团队里不同的分析人员可以同时介入同一个案例，互不干扰，协同推进。
• 时间线分析：把系统事件用图形化的方式呈现出来，直观地还原事件发生的顺序和时间节点，这在溯源分析里特别关键。
• 关键词搜索：内置了文本提取和索引搜索模块，不管是找特定关键词还是正则匹配，都能快速定位相关文件。
• 浏览器痕迹提取：能从主流浏览器里把用户的上网记录扒出来，对于判断用户行为或者追踪恶意访问路径很有帮助。
• 注册表解析：直接提取 Windows 注册表里的取证数据。
• 邮件分析：解析磁盘上残留的邮件数据，包括已删除的部分。
• Unicode 字符串提取：能从未分配空间和未知文件类型里提取多语言字符串，这在找隐藏数据或者分析恶意文件时经常用到。
• 文件类型识别：通过文件签名来判断真实类型，同时检测扩展名伪造的情况——这是很多攻击者惯用的手法。
• 可疑文件标记：根据文件名和路径规则自动标记可疑文件，减少人工排查的工作量。
• Android 数据提取：能从短信、通话记录、联系人，以及 Tango、Words with Friends 等应用里提取数据。

工具下载地址：https://github.com/sleuthkit/autopsy/releases

新建案件

下载安装完成后，以管理员身份运行 Autopsy，这一步不能省，否则部分磁盘读取权限会受限。

启动后进入主界面，点击 “New Case” 开始一个新的调查案例。系统会要求填写案例名称和案例文件的存储路径。

接下来还有一个步骤很多人会跳过，但在正式的应急响应场景里不建议跳——填写案例的附加信息，比如调查编号、负责人、案例描述等。

这些信息是维护证据链的基础，后续如果案件需要出证或者交接给其他团队，这部分内容会非常重要。

选择数据源

案例信息填完，点 Finish 之后，Autopsy 会弹出数据源选择窗口。

这里有两个典型场景：

• 分析已有的磁盘镜像：如果之前已经用 FTK Imager 或者其他工具采集了一份磁盘镜像文件，直接选第一个选项导入即可。
• 直接分析本地磁盘：如果正在对一台疑似受损的机器进行现场应急，需要直接分析它的本地磁盘，就选第二个选项。

选完数据源类型后，进入磁盘选择界面，需要指定要分析的目标磁盘，同时设置取证时间线的时区。这个时区建议和被调查计算机的系统时区保持一致，不然事件时间线会出现偏移，影响溯源判断。

另外，这个界面还有一个选项：“Make a VHD image of the drive while it is analyzed”，勾上之后 Autopsy 会在分析的同时生成磁盘的 VHD 镜像备份，如果后续需要保留证据原始副本，可以开启。

配置摄取插件

点击下一步之后，会进入 Autopsy 最核心的配置环节——Ingest 插件配置。

这里可以选择让 Autopsy 在分析磁盘时跑哪些解析模块。举个例子，勾选”Email Parser”之后，Autopsy 会遍历磁盘上的日志、文件、程序目录甚至已删除的未分配空间，把所有能找到的邮件数据都提取出来。

按需选择插件，点 Next，分析就会开始跑起来，结果会实时呈现。

查看分析结果

分析完成后，Autopsy 会把结果按类别整理好，左侧导航栏里可以直接按分类浏览。举几个在应急响应中比较常看的：

OS Accounts（系统账户）：直接列出当前系统上存在的所有用户，可以快速判断是否有异常账户或者新建的本地账户。

Recent Documents（最近访问文档）：这个和 Windows 注册表取证里讲的 Recent Documents 是同一类数据，Autopsy 把它可视化地展示出来，方便了解用户近期的操作行为。

Images/Videos（图片/视频）：可以浏览磁盘上所有的图像和视频文件，对于某些特殊案件类型会用到。

这里我演示用的是虚拟机磁盘，数据量比较少。实际处理一台用户主机或者服务器时，各类数据会多得多，分析时间也会相应拉长。

现场快速研判功能

这个功能在现场应急里特别值得一提。

Autopsy 支持将自身的工具集和运行脚本预先部署到一个 USB 移动介质里，制作成现场研判盘。到了现场之后，应急响应人员可以把 USB 插到目标机器上，直接运行脚本，Autopsy 就会自动对该机器进行数据采集和初步研判，不需要在目标机器上安装任何东西。

这对于需要快速响应、不能污染现场环境的场景非常实用，比如企业内部的安全事件处置，或者需要在不关机状态下做活体取证的情况。

总结

Autopsy 在取证工具里算是兼顾了易用性和功能深度的一个选择，图形界面友好，上手门槛不高，但背后的分析能力并不弱。对于应急响应团队来说，它既能用于快速的现场初步研判，也能支撑相对完整的磁盘取证分析流程。本文只是一个入门级的操作介绍，Autopsy 本身的功能远不止这些，更深入的用法后续可以结合实战场景展开来讲。

Post Views: 1

赞赏

微信赞赏支付宝赞赏