analyzing-disk-image-with-autopsy

使用 Autopsy 对磁盘镜像进行全面取证分析,恢复文件、检查痕迹并构建调查时间线。

9 stars

Best use case

analyzing-disk-image-with-autopsy is best used when you need a repeatable AI agent workflow instead of a one-off prompt.

使用 Autopsy 对磁盘镜像进行全面取证分析,恢复文件、检查痕迹并构建调查时间线。

Teams using analyzing-disk-image-with-autopsy should expect a more consistent output, faster repeated execution, less prompt rewriting.

When to use this skill

  • You want a reusable workflow that can be run more than once with consistent structure.

When not to use this skill

  • You only need a quick one-off answer and do not need a reusable workflow.
  • You cannot install or maintain the underlying files, dependencies, or repository context.

Installation

Claude Code / Cursor / Codex

$curl -o ~/.claude/skills/analyzing-disk-image-with-autopsy/SKILL.md --create-dirs "https://raw.githubusercontent.com/killvxk/cybersecurity-skills-zh/main/skills/analyzing-disk-image-with-autopsy/SKILL.md"

Manual Installation

  1. Download SKILL.md from GitHub
  2. Place it in .claude/skills/analyzing-disk-image-with-autopsy/SKILL.md inside your project
  3. Restart your AI agent — it will auto-discover the skill

How analyzing-disk-image-with-autopsy Compares

Feature / Agentanalyzing-disk-image-with-autopsyStandard Approach
Platform SupportNot specifiedLimited / Varies
Context Awareness High Baseline
Installation ComplexityUnknownN/A

Frequently Asked Questions

What does this skill do?

使用 Autopsy 对磁盘镜像进行全面取证分析,恢复文件、检查痕迹并构建调查时间线。

Where can I find the source code?

You can find the source code on GitHub using the link provided at the top of the page.

SKILL.md Source

# 使用 Autopsy 分析磁盘镜像

## 适用场景
- 当您有取证磁盘镜像并需要对其内容进行结构化分析时
- 调查需要文件恢复、关键词搜索和时间线分析时
- 当非技术利益相关方需要从取证证据中获取可视化报告时
- 检查文件系统元数据、已删除文件和嵌入的痕迹时
- 从多个磁盘镜像构建全面案件时

## 前置条件
- 已安装 Autopsy 4.x(Windows)或带 The Sleuth Kit 的 Autopsy 4.x(Linux)
- raw(dd)、E01(EnCase)或 AFF 格式的取证磁盘镜像
- 最低 8GB RAM(大型镜像建议 16GB)
- Autopsy 所需的 Java 运行时环境(JRE)8+
- 足够的磁盘空间用于 Autopsy 案件数据库(镜像大小的 2-3 倍)
- 用于文件识别的哈希数据库(NSRL、已知恶意哈希)

## 工作流程

### 步骤 1:安装 Autopsy 并配置环境

```bash
# 在 Linux 上安装 Sleuth Kit 和 Autopsy
sudo apt-get install autopsy sleuthkit

# 从官方来源下载 Autopsy 4.x(GUI 版本)
wget https://github.com/sleuthkit/autopsy/releases/download/autopsy-4.21.0/autopsy-4.21.0.zip
unzip autopsy-4.21.0.zip -d /opt/autopsy

# 在 Windows 上,从 sleuthkit.org 运行 MSI 安装程序
# 启动 Autopsy
/opt/autopsy/bin/autopsy --nosplash

# 同时安装 Sleuth Kit 命令行工具配合 Autopsy 使用
sudo apt-get install sleuthkit
```

### 步骤 2:创建新案件并添加磁盘镜像

```
1. 启动 Autopsy > "New Case"(新建案件)
2. 输入案件名称: "CASE-2024-001-Workstation"
3. 设置基本目录: /cases/case-2024-001/autopsy/
4. 输入案件编号、检验员姓名
5. 点击 "Add Data Source"(添加数据源)
6. 选择 "Disk Image or VM File"(磁盘镜像或虚拟机文件)
7. 浏览至: /cases/case-2024-001/images/evidence.dd
8. 选择原始系统的时区
9. 配置摄取模块(见步骤 3)
```

```bash
# 也可以先用 Sleuth Kit CLI 验证镜像
img_stat /cases/case-2024-001/images/evidence.dd

# 列出镜像中的分区
mmls /cases/case-2024-001/images/evidence.dd

# 输出示例:
# DOS Partition Table
# Offset Sector: 0
# Units are in 512-byte sectors
#      Slot    Start        End          Length       Description
#      00:  -----   0000000000   0000002047   0000002048   Primary Table (#0)
#      01:  00:00   0000002048   0001026047   0001024000   NTFS (0x07)
#      02:  00:01   0001026048   0976771071   0975745024   NTFS (0x07)

# 列出分区中的文件(偏移量 2048 扇区)
fls -o 2048 /cases/case-2024-001/images/evidence.dd
```

### 步骤 3:配置并运行摄取模块

```
启用以下 Autopsy 摄取模块:
- Recent Activity(最近活动): 提取浏览器历史、下载记录、Cookie、书签
- Hash Lookup(哈希查找): 对照 NSRL 和已知恶意哈希集比对文件
- File Type Identification(文件类型识别): 通过特征而非扩展名识别文件
- Keyword Search(关键词搜索): 对内容建立全文搜索索引
- Email Parser(邮件解析器): 从 PST、MBOX、EML 文件中提取邮件
- Extension Mismatch Detector(扩展名不匹配检测器): 查找扩展名错误的文件
- Exif Parser(Exif 解析器): 从图像中提取元数据(GPS、相机、时间戳)
- Encryption Detection(加密检测): 识别加密文件和容器
- Interesting Files Identifier(有趣文件识别器): 标记匹配自定义规则集的文件
- Embedded File Extractor(嵌入文件提取器): 从 ZIP、Office 文档、PDF 中提取文件
- Picture Analyzer(图片分析器): 使用 PhotoDNA 或哈希匹配分类图像
- Data Source Integrity(数据源完整性): 在摄取期间验证镜像哈希
```

```bash
# 配置 NSRL 哈希集用于已知良性文件过滤
# 从 https://www.nist.gov/itl/ssd/software-quality-group/national-software-reference-library-nsrl 下载 NSRL
wget https://s3.amazonaws.com/rds.nsrl.nist.gov/RDS/current/rds_modernm.zip
unzip rds_modernm.zip -d /opt/autopsy/hashsets/

# 在 Autopsy 中导入:
# 工具 > 选项 > 哈希集 > 导入 > 选择 NSRLFile.txt
# 标记为 "Known"(已知)以过滤已知良性文件
```

### 步骤 4:分析文件系统并恢复已删除文件

```bash
# 在 Autopsy GUI 中: 浏览树形结构
# - 数据源 > evidence.dd > vol2 (NTFS)
# - 检查目录树,注意已删除文件(标有 X)

# 使用 Sleuth Kit CLI 进行针对性恢复
# 列出已删除文件
fls -rd -o 2048 /cases/case-2024-001/images/evidence.dd

# 通过 inode 恢复特定已删除文件
icat -o 2048 /cases/case-2024-001/images/evidence.dd 14523 > /cases/case-2024-001/recovered/deleted_document.docx

# 从目录中提取所有文件
tsk_recover -o 2048 -d /Users/suspect/Documents \
   /cases/case-2024-001/images/evidence.dd \
   /cases/case-2024-001/recovered/documents/

# 获取详细文件元数据
istat -o 2048 /cases/case-2024-001/images/evidence.dd 14523
# 显示: 创建、修改、访问、MFT 变更时间戳、大小、数据运行
```

### 步骤 5:执行关键词搜索并标记证据

```
在 Autopsy 中:
1. 关键词搜索面板 > "Ad Hoc Keyword Search"(即席关键词搜索)
2. 搜索词: 信用卡模式、SSN 正则表达式、电子邮件地址
3. 信用卡正则示例: \b(?:4[0-9]{12}(?:[0-9]{3})?|5[1-5][0-9]{14})\b
4. SSN 正则示例: \b\d{3}-\d{2}-\d{4}\b
5. 查看结果 > 右键点击条目 > "Add Tag"(添加标签)
6. 创建标签: "Evidence-Critical"、"Evidence-Supporting"、"Requires-Review"
7. 为已标记条目添加注释,记录相关性
```

```bash
# 使用 Sleuth Kit 进行 CLI 关键词搜索
srch_strings -a -o 2048 /cases/case-2024-001/images/evidence.dd | \
   grep -iE '(password|secret|confidential)' > /cases/case-2024-001/keyword_hits.txt

# 搜索特定文件特征
sigfind -o 2048 /cases/case-2024-001/images/evidence.dd 25504446
# 25504446 = %PDF 头部特征
```

### 步骤 6:构建时间线并生成报告

```
在 Autopsy 中:
1. 时间线查看器: 工具 > 时间线
2. 选择关注的日期范围(事件窗口)
3. 按事件类型过滤: 文件创建、修改、访问、网络活动
4. 放大可疑时间段
5. 将时间线事件导出为 CSV 用于外部分析

生成报告:
1. 生成报告 > HTML 报告
2. 选择要包含的已标记条目和数据源
3. 配置报告章节: 文件列表、关键词命中、时间线
4. 导出到 /cases/case-2024-001/reports/
```

```bash
# 使用 Sleuth Kit mactime 进行 CLI 时间线分析
fls -r -m "/" -o 2048 /cases/case-2024-001/images/evidence.dd > /cases/case-2024-001/bodyfile.txt

# 从 bodyfile 生成时间线
mactime -b /cases/case-2024-001/bodyfile.txt -d > /cases/case-2024-001/timeline.csv

# 过滤时间线到特定日期范围
mactime -b /cases/case-2024-001/bodyfile.txt \
   -d 2024-01-15..2024-01-20 > /cases/case-2024-001/incident_timeline.csv
```

## 核心概念

| 概念 | 定义 |
|------|------|
| 摄取模块(Ingest Modules) | 在导入时自动处理数据源的分析插件 |
| MFT(主文件表) | 记录所有文件条目和属性的 NTFS 元数据结构 |
| 文件雕刻(File carving) | 使用文件特征从未分配空间恢复文件 |
| 哈希过滤(Hash filtering) | 使用 NSRL 或自定义哈希集排除已知良性文件或标记已知恶意文件 |
| 时间线分析(Timeline analysis) | 按时间顺序重建文件系统和用户活动事件 |
| 已删除文件恢复(Deleted file recovery) | 恢复目录条目已删除但数据仍存在的文件 |
| 关键词索引(Keyword indexing) | 从所有文件内容(包括松弛空间)建立的全文搜索索引 |
| 痕迹提取(Artifact extraction) | 自动解析浏览器、邮件、注册表和操作系统特定痕迹 |

## 工具与系统

| 工具 | 用途 |
|------|------|
| Autopsy | 用于磁盘镜像分析的开源 GUI 取证平台 |
| The Sleuth Kit (TSK) | Autopsy 底层的命令行取证工具包 |
| fls | 列出磁盘镜像中的文件和目录,包括已删除条目 |
| icat | 通过 inode 编号从磁盘镜像中提取文件内容 |
| mactime | 从 TSK bodyfile 格式生成时间线 |
| mmls | 显示磁盘镜像的分区布局 |
| NSRL | 用于识别已知软件文件的 NIST 哈希数据库 |
| sigfind | 在扇区级别搜索文件特征 |

## 常见场景

**场景:员工数据窃取调查**
导入员工工作站镜像,运行所有摄取模块,搜索公司机密文件名和关键词,检查最近活动中的 USB 连接痕迹,查找云存储客户端痕迹,审查已删除文件中的数据暂存证据,为法律团队生成 HTML 报告。

**场景:恶意软件感染取证**
添加受损系统镜像,启用扩展名不匹配和加密检测模块,检查预取目录中的执行证据,搜索已知恶意软件哈希,围绕感染窗口构建时间线,提取可疑可执行文件在沙箱中进一步分析。

**场景:知识产权纠纷**
将多个员工磁盘镜像作为单个案件的独立数据源导入,对专有术语和项目名称执行关键词搜索,比较各来源之间的文件哈希,构建显示文件访问和传输模式的时间线,导出证据供法律审查。

## 输出格式

```
Autopsy 案件分析摘要:
  案件:           CASE-2024-001-Workstation
  镜像:           evidence.dd (500GB NTFS)
  分区:           2 个(系统保留 + 主分区)
  总文件数:       245,832
  已删除文件:     12,456 个(可恢复: 8,234 个)

  摄取结果:
    哈希匹配(已知恶意):  3 个文件
    扩展名不匹配:          17 个文件
    关键词命中:            234 次,分布于 45 个文件
    加密文件:              检测到 5 个容器
    提取的 EXIF 数据:      1,245 张带元数据的图像

  已标记证据:
    关键:     12 条
    支撑:     34 条
    待审:     67 条

  时间线事件:  1,234,567 条(过滤到事件窗口后: 892 条)
  报告:       /cases/case-2024-001/reports/autopsy_report.html
```

Related Skills

securing-container-registry-images

9
from killvxk/cybersecurity-skills-zh

通过使用 Trivy 和 Grype 实施漏洞扫描、使用 Cosign 和 Sigstore 强制执行镜像签名、配置镜像仓库访问控制,以及构建阻止部署未扫描或未签名镜像的 CI/CD 流水线,来保护容器仓库(Container Registry)中的镜像安全。

scanning-docker-images-with-trivy

9
from killvxk/cybersecurity-skills-zh

Trivy 是 Aqua Security 开源的综合性漏洞扫描器,用于检测容器镜像中操作系统软件包、语言特定依赖项的漏洞、错误配置、密钥和许可证违规,并集成到 CI/CD 流水线,支持 SARIF、CycloneDX 和 SPDX 等多种输出格式。

scanning-container-images-with-grype

9
from killvxk/cybersecurity-skills-zh

使用 Anchore Grype 扫描容器镜像的已知漏洞(Vulnerability),支持基于 SBOM 的匹配和可配置的严重性阈值。

performing-disk-forensics-investigation

9
from killvxk/cybersecurity-skills-zh

使用取证镜像、文件系统分析、产物恢复和时间线重建进行磁盘取证调查,以支持事件响应案例。 使用 FTK Imager、Autopsy 和 The Sleuth Kit 等工具进行证据采集、已删除文件恢复和产物检查。 适用于磁盘取证、硬盘分析、取证镜像、文件恢复、证据采集或数字取证调查等请求场景。

performing-container-image-hardening

9
from killvxk/cybersecurity-skills-zh

本技能涵盖通过最小化攻击面、移除不必要软件包、实施多阶段构建、配置非 root 用户, 以及应用 CIS Docker 基准建议来加固容器镜像,生成安全的生产就绪镜像。

implementing-image-provenance-verification-with-cosign

9
from killvxk/cybersecurity-skills-zh

使用 Sigstore Cosign 进行容器镜像来源签名与验证,支持基于 OIDC 的无密钥签名、证明附件及 Kubernetes 准入强制执行。

implementing-disk-encryption-with-bitlocker

9
from killvxk/cybersecurity-skills-zh

使用 Microsoft BitLocker 在 Windows 端点上实施全盘加密,保护静态数据免受 设备丢失或被盗时未授权访问的威胁。适用于部署加密以满足合规要求、保护移动工作站 或在企业范围内实施数据保护控制的场景。适用于涉及 BitLocker 加密、磁盘加密、 TPM 配置或静态数据保护的请求。

implementing-container-image-minimal-base-with-distroless

9
from killvxk/cybersecurity-skills-zh

通过在 Google distroless 基础镜像上构建应用镜像来减少容器攻击面,这些镜像仅包含应用运行时,没有 shell、包管理器或不必要的 OS 工具。

analyzing-windows-shellbag-artifacts

9
from killvxk/cybersecurity-skills-zh

分析 Windows ShellBag 注册表取证痕迹,使用 SBECmd 和 ShellBags Explorer 重建文件夹浏览活动,检测对可移动介质和网络共享的访问,并在删除后仍能确认用户与目录的交互行为。

analyzing-windows-registry-for-artifacts

9
from killvxk/cybersecurity-skills-zh

提取并分析 Windows 注册表配置单元,以发现用户活动、已安装软件、自启动条目及系统入侵证据。

analyzing-windows-prefetch-with-python

9
from killvxk/cybersecurity-skills-zh

使用 windowsprefetch Python 库解析 Windows Prefetch 文件,重建应用程序执行历史,检测重命名或伪装的二进制文件,并识别可疑的程序执行模式。

analyzing-windows-lnk-files-for-artifacts

9
from killvxk/cybersecurity-skills-zh

解析 Windows LNK 快捷方式文件,提取目标路径、时间戳、卷信息和机器标识符,用于取证时间线重建。