点击 详情 按钮来获取更多有关所给映像文件的信息。它还提供了从映像文件的卷中导出未分配的片段和字符串的数据信息,这在下图中有展现。
在下图中那样,点击 分析 按钮来开始分析所给映像。它将开启另一个页面,其中包含了映像分析的多个选项。
在映像分析过程中,Autopsy 提供了如下的功能:
文件分析
关键字搜索
文件类型
映像详情
数据单元
下图展示的是在给定的 Linux 分区映像上进行文件分析:
它将从所给映像中提取所有的文件和文件夹。在下图中也展示了已被删除的文件的提取:
希望这篇文章能够给那些进入磁盘映像静态分析领域的新手提供帮助。Autopsy 是 sleuth kit 的网页界面,提供了在 Windows 和 Linux 磁盘映像中进行诸如字符串提取,恢复被删文件,时间线分析,网络浏览历史,关键字搜索和邮件分析等功能。