Best use case
analyzing-disk-image-with-autopsy is best used when you need a repeatable AI agent workflow instead of a one-off prompt.
使用 Autopsy 对磁盘镜像进行全面取证分析,恢复文件、检查痕迹并构建调查时间线。
Teams using analyzing-disk-image-with-autopsy should expect a more consistent output, faster repeated execution, less prompt rewriting.
When to use this skill
- You want a reusable workflow that can be run more than once with consistent structure.
When not to use this skill
- You only need a quick one-off answer and do not need a reusable workflow.
- You cannot install or maintain the underlying files, dependencies, or repository context.
Installation
Claude Code / Cursor / Codex
Manual Installation
- Download SKILL.md from GitHub
- Place it in
.claude/skills/analyzing-disk-image-with-autopsy/SKILL.mdinside your project - Restart your AI agent — it will auto-discover the skill
How analyzing-disk-image-with-autopsy Compares
| Feature / Agent | analyzing-disk-image-with-autopsy | Standard Approach |
|---|---|---|
| Platform Support | Not specified | Limited / Varies |
| Context Awareness | High | Baseline |
| Installation Complexity | Unknown | N/A |
Frequently Asked Questions
What does this skill do?
使用 Autopsy 对磁盘镜像进行全面取证分析,恢复文件、检查痕迹并构建调查时间线。
Where can I find the source code?
You can find the source code on GitHub using the link provided at the top of the page.
SKILL.md Source
# 使用 Autopsy 分析磁盘镜像
## 适用场景
- 当您有取证磁盘镜像并需要对其内容进行结构化分析时
- 调查需要文件恢复、关键词搜索和时间线分析时
- 当非技术利益相关方需要从取证证据中获取可视化报告时
- 检查文件系统元数据、已删除文件和嵌入的痕迹时
- 从多个磁盘镜像构建全面案件时
## 前置条件
- 已安装 Autopsy 4.x(Windows)或带 The Sleuth Kit 的 Autopsy 4.x(Linux)
- raw(dd)、E01(EnCase)或 AFF 格式的取证磁盘镜像
- 最低 8GB RAM(大型镜像建议 16GB)
- Autopsy 所需的 Java 运行时环境(JRE)8+
- 足够的磁盘空间用于 Autopsy 案件数据库(镜像大小的 2-3 倍)
- 用于文件识别的哈希数据库(NSRL、已知恶意哈希)
## 工作流程
### 步骤 1:安装 Autopsy 并配置环境
```bash
# 在 Linux 上安装 Sleuth Kit 和 Autopsy
sudo apt-get install autopsy sleuthkit
# 从官方来源下载 Autopsy 4.x(GUI 版本)
wget https://github.com/sleuthkit/autopsy/releases/download/autopsy-4.21.0/autopsy-4.21.0.zip
unzip autopsy-4.21.0.zip -d /opt/autopsy
# 在 Windows 上,从 sleuthkit.org 运行 MSI 安装程序
# 启动 Autopsy
/opt/autopsy/bin/autopsy --nosplash
# 同时安装 Sleuth Kit 命令行工具配合 Autopsy 使用
sudo apt-get install sleuthkit
```
### 步骤 2:创建新案件并添加磁盘镜像
```
1. 启动 Autopsy > "New Case"(新建案件)
2. 输入案件名称: "CASE-2024-001-Workstation"
3. 设置基本目录: /cases/case-2024-001/autopsy/
4. 输入案件编号、检验员姓名
5. 点击 "Add Data Source"(添加数据源)
6. 选择 "Disk Image or VM File"(磁盘镜像或虚拟机文件)
7. 浏览至: /cases/case-2024-001/images/evidence.dd
8. 选择原始系统的时区
9. 配置摄取模块(见步骤 3)
```
```bash
# 也可以先用 Sleuth Kit CLI 验证镜像
img_stat /cases/case-2024-001/images/evidence.dd
# 列出镜像中的分区
mmls /cases/case-2024-001/images/evidence.dd
# 输出示例:
# DOS Partition Table
# Offset Sector: 0
# Units are in 512-byte sectors
# Slot Start End Length Description
# 00: ----- 0000000000 0000002047 0000002048 Primary Table (#0)
# 01: 00:00 0000002048 0001026047 0001024000 NTFS (0x07)
# 02: 00:01 0001026048 0976771071 0975745024 NTFS (0x07)
# 列出分区中的文件(偏移量 2048 扇区)
fls -o 2048 /cases/case-2024-001/images/evidence.dd
```
### 步骤 3:配置并运行摄取模块
```
启用以下 Autopsy 摄取模块:
- Recent Activity(最近活动): 提取浏览器历史、下载记录、Cookie、书签
- Hash Lookup(哈希查找): 对照 NSRL 和已知恶意哈希集比对文件
- File Type Identification(文件类型识别): 通过特征而非扩展名识别文件
- Keyword Search(关键词搜索): 对内容建立全文搜索索引
- Email Parser(邮件解析器): 从 PST、MBOX、EML 文件中提取邮件
- Extension Mismatch Detector(扩展名不匹配检测器): 查找扩展名错误的文件
- Exif Parser(Exif 解析器): 从图像中提取元数据(GPS、相机、时间戳)
- Encryption Detection(加密检测): 识别加密文件和容器
- Interesting Files Identifier(有趣文件识别器): 标记匹配自定义规则集的文件
- Embedded File Extractor(嵌入文件提取器): 从 ZIP、Office 文档、PDF 中提取文件
- Picture Analyzer(图片分析器): 使用 PhotoDNA 或哈希匹配分类图像
- Data Source Integrity(数据源完整性): 在摄取期间验证镜像哈希
```
```bash
# 配置 NSRL 哈希集用于已知良性文件过滤
# 从 https://www.nist.gov/itl/ssd/software-quality-group/national-software-reference-library-nsrl 下载 NSRL
wget https://s3.amazonaws.com/rds.nsrl.nist.gov/RDS/current/rds_modernm.zip
unzip rds_modernm.zip -d /opt/autopsy/hashsets/
# 在 Autopsy 中导入:
# 工具 > 选项 > 哈希集 > 导入 > 选择 NSRLFile.txt
# 标记为 "Known"(已知)以过滤已知良性文件
```
### 步骤 4:分析文件系统并恢复已删除文件
```bash
# 在 Autopsy GUI 中: 浏览树形结构
# - 数据源 > evidence.dd > vol2 (NTFS)
# - 检查目录树,注意已删除文件(标有 X)
# 使用 Sleuth Kit CLI 进行针对性恢复
# 列出已删除文件
fls -rd -o 2048 /cases/case-2024-001/images/evidence.dd
# 通过 inode 恢复特定已删除文件
icat -o 2048 /cases/case-2024-001/images/evidence.dd 14523 > /cases/case-2024-001/recovered/deleted_document.docx
# 从目录中提取所有文件
tsk_recover -o 2048 -d /Users/suspect/Documents \
/cases/case-2024-001/images/evidence.dd \
/cases/case-2024-001/recovered/documents/
# 获取详细文件元数据
istat -o 2048 /cases/case-2024-001/images/evidence.dd 14523
# 显示: 创建、修改、访问、MFT 变更时间戳、大小、数据运行
```
### 步骤 5:执行关键词搜索并标记证据
```
在 Autopsy 中:
1. 关键词搜索面板 > "Ad Hoc Keyword Search"(即席关键词搜索)
2. 搜索词: 信用卡模式、SSN 正则表达式、电子邮件地址
3. 信用卡正则示例: \b(?:4[0-9]{12}(?:[0-9]{3})?|5[1-5][0-9]{14})\b
4. SSN 正则示例: \b\d{3}-\d{2}-\d{4}\b
5. 查看结果 > 右键点击条目 > "Add Tag"(添加标签)
6. 创建标签: "Evidence-Critical"、"Evidence-Supporting"、"Requires-Review"
7. 为已标记条目添加注释,记录相关性
```
```bash
# 使用 Sleuth Kit 进行 CLI 关键词搜索
srch_strings -a -o 2048 /cases/case-2024-001/images/evidence.dd | \
grep -iE '(password|secret|confidential)' > /cases/case-2024-001/keyword_hits.txt
# 搜索特定文件特征
sigfind -o 2048 /cases/case-2024-001/images/evidence.dd 25504446
# 25504446 = %PDF 头部特征
```
### 步骤 6:构建时间线并生成报告
```
在 Autopsy 中:
1. 时间线查看器: 工具 > 时间线
2. 选择关注的日期范围(事件窗口)
3. 按事件类型过滤: 文件创建、修改、访问、网络活动
4. 放大可疑时间段
5. 将时间线事件导出为 CSV 用于外部分析
生成报告:
1. 生成报告 > HTML 报告
2. 选择要包含的已标记条目和数据源
3. 配置报告章节: 文件列表、关键词命中、时间线
4. 导出到 /cases/case-2024-001/reports/
```
```bash
# 使用 Sleuth Kit mactime 进行 CLI 时间线分析
fls -r -m "/" -o 2048 /cases/case-2024-001/images/evidence.dd > /cases/case-2024-001/bodyfile.txt
# 从 bodyfile 生成时间线
mactime -b /cases/case-2024-001/bodyfile.txt -d > /cases/case-2024-001/timeline.csv
# 过滤时间线到特定日期范围
mactime -b /cases/case-2024-001/bodyfile.txt \
-d 2024-01-15..2024-01-20 > /cases/case-2024-001/incident_timeline.csv
```
## 核心概念
| 概念 | 定义 |
|------|------|
| 摄取模块(Ingest Modules) | 在导入时自动处理数据源的分析插件 |
| MFT(主文件表) | 记录所有文件条目和属性的 NTFS 元数据结构 |
| 文件雕刻(File carving) | 使用文件特征从未分配空间恢复文件 |
| 哈希过滤(Hash filtering) | 使用 NSRL 或自定义哈希集排除已知良性文件或标记已知恶意文件 |
| 时间线分析(Timeline analysis) | 按时间顺序重建文件系统和用户活动事件 |
| 已删除文件恢复(Deleted file recovery) | 恢复目录条目已删除但数据仍存在的文件 |
| 关键词索引(Keyword indexing) | 从所有文件内容(包括松弛空间)建立的全文搜索索引 |
| 痕迹提取(Artifact extraction) | 自动解析浏览器、邮件、注册表和操作系统特定痕迹 |
## 工具与系统
| 工具 | 用途 |
|------|------|
| Autopsy | 用于磁盘镜像分析的开源 GUI 取证平台 |
| The Sleuth Kit (TSK) | Autopsy 底层的命令行取证工具包 |
| fls | 列出磁盘镜像中的文件和目录,包括已删除条目 |
| icat | 通过 inode 编号从磁盘镜像中提取文件内容 |
| mactime | 从 TSK bodyfile 格式生成时间线 |
| mmls | 显示磁盘镜像的分区布局 |
| NSRL | 用于识别已知软件文件的 NIST 哈希数据库 |
| sigfind | 在扇区级别搜索文件特征 |
## 常见场景
**场景:员工数据窃取调查**
导入员工工作站镜像,运行所有摄取模块,搜索公司机密文件名和关键词,检查最近活动中的 USB 连接痕迹,查找云存储客户端痕迹,审查已删除文件中的数据暂存证据,为法律团队生成 HTML 报告。
**场景:恶意软件感染取证**
添加受损系统镜像,启用扩展名不匹配和加密检测模块,检查预取目录中的执行证据,搜索已知恶意软件哈希,围绕感染窗口构建时间线,提取可疑可执行文件在沙箱中进一步分析。
**场景:知识产权纠纷**
将多个员工磁盘镜像作为单个案件的独立数据源导入,对专有术语和项目名称执行关键词搜索,比较各来源之间的文件哈希,构建显示文件访问和传输模式的时间线,导出证据供法律审查。
## 输出格式
```
Autopsy 案件分析摘要:
案件: CASE-2024-001-Workstation
镜像: evidence.dd (500GB NTFS)
分区: 2 个(系统保留 + 主分区)
总文件数: 245,832
已删除文件: 12,456 个(可恢复: 8,234 个)
摄取结果:
哈希匹配(已知恶意): 3 个文件
扩展名不匹配: 17 个文件
关键词命中: 234 次,分布于 45 个文件
加密文件: 检测到 5 个容器
提取的 EXIF 数据: 1,245 张带元数据的图像
已标记证据:
关键: 12 条
支撑: 34 条
待审: 67 条
时间线事件: 1,234,567 条(过滤到事件窗口后: 892 条)
报告: /cases/case-2024-001/reports/autopsy_report.html
```Related Skills
securing-container-registry-images
通过使用 Trivy 和 Grype 实施漏洞扫描、使用 Cosign 和 Sigstore 强制执行镜像签名、配置镜像仓库访问控制,以及构建阻止部署未扫描或未签名镜像的 CI/CD 流水线,来保护容器仓库(Container Registry)中的镜像安全。
scanning-docker-images-with-trivy
Trivy 是 Aqua Security 开源的综合性漏洞扫描器,用于检测容器镜像中操作系统软件包、语言特定依赖项的漏洞、错误配置、密钥和许可证违规,并集成到 CI/CD 流水线,支持 SARIF、CycloneDX 和 SPDX 等多种输出格式。
scanning-container-images-with-grype
使用 Anchore Grype 扫描容器镜像的已知漏洞(Vulnerability),支持基于 SBOM 的匹配和可配置的严重性阈值。
performing-disk-forensics-investigation
使用取证镜像、文件系统分析、产物恢复和时间线重建进行磁盘取证调查,以支持事件响应案例。 使用 FTK Imager、Autopsy 和 The Sleuth Kit 等工具进行证据采集、已删除文件恢复和产物检查。 适用于磁盘取证、硬盘分析、取证镜像、文件恢复、证据采集或数字取证调查等请求场景。
performing-container-image-hardening
本技能涵盖通过最小化攻击面、移除不必要软件包、实施多阶段构建、配置非 root 用户, 以及应用 CIS Docker 基准建议来加固容器镜像,生成安全的生产就绪镜像。
implementing-image-provenance-verification-with-cosign
使用 Sigstore Cosign 进行容器镜像来源签名与验证,支持基于 OIDC 的无密钥签名、证明附件及 Kubernetes 准入强制执行。
implementing-disk-encryption-with-bitlocker
使用 Microsoft BitLocker 在 Windows 端点上实施全盘加密,保护静态数据免受 设备丢失或被盗时未授权访问的威胁。适用于部署加密以满足合规要求、保护移动工作站 或在企业范围内实施数据保护控制的场景。适用于涉及 BitLocker 加密、磁盘加密、 TPM 配置或静态数据保护的请求。
implementing-container-image-minimal-base-with-distroless
通过在 Google distroless 基础镜像上构建应用镜像来减少容器攻击面,这些镜像仅包含应用运行时,没有 shell、包管理器或不必要的 OS 工具。
analyzing-windows-shellbag-artifacts
分析 Windows ShellBag 注册表取证痕迹,使用 SBECmd 和 ShellBags Explorer 重建文件夹浏览活动,检测对可移动介质和网络共享的访问,并在删除后仍能确认用户与目录的交互行为。
analyzing-windows-registry-for-artifacts
提取并分析 Windows 注册表配置单元,以发现用户活动、已安装软件、自启动条目及系统入侵证据。
analyzing-windows-prefetch-with-python
使用 windowsprefetch Python 库解析 Windows Prefetch 文件,重建应用程序执行历史,检测重命名或伪装的二进制文件,并识别可疑的程序执行模式。
analyzing-windows-lnk-files-for-artifacts
解析 Windows LNK 快捷方式文件,提取目标路径、时间戳、卷信息和机器标识符,用于取证时间线重建。