performing-disk-forensics-investigation

使用取证镜像、文件系统分析、产物恢复和时间线重建进行磁盘取证调查,以支持事件响应案例。 使用 FTK Imager、Autopsy 和 The Sleuth Kit 等工具进行证据采集、已删除文件恢复和产物检查。 适用于磁盘取证、硬盘分析、取证镜像、文件恢复、证据采集或数字取证调查等请求场景。

9 stars

Best use case

performing-disk-forensics-investigation is best used when you need a repeatable AI agent workflow instead of a one-off prompt.

使用取证镜像、文件系统分析、产物恢复和时间线重建进行磁盘取证调查,以支持事件响应案例。 使用 FTK Imager、Autopsy 和 The Sleuth Kit 等工具进行证据采集、已删除文件恢复和产物检查。 适用于磁盘取证、硬盘分析、取证镜像、文件恢复、证据采集或数字取证调查等请求场景。

Teams using performing-disk-forensics-investigation should expect a more consistent output, faster repeated execution, less prompt rewriting.

When to use this skill

  • You want a reusable workflow that can be run more than once with consistent structure.

When not to use this skill

  • You only need a quick one-off answer and do not need a reusable workflow.
  • You cannot install or maintain the underlying files, dependencies, or repository context.

Installation

Claude Code / Cursor / Codex

$curl -o ~/.claude/skills/performing-disk-forensics-investigation/SKILL.md --create-dirs "https://raw.githubusercontent.com/killvxk/cybersecurity-skills-zh/main/skills/performing-disk-forensics-investigation/SKILL.md"

Manual Installation

  1. Download SKILL.md from GitHub
  2. Place it in .claude/skills/performing-disk-forensics-investigation/SKILL.md inside your project
  3. Restart your AI agent — it will auto-discover the skill

How performing-disk-forensics-investigation Compares

Feature / Agentperforming-disk-forensics-investigationStandard Approach
Platform SupportNot specifiedLimited / Varies
Context Awareness High Baseline
Installation ComplexityUnknownN/A

Frequently Asked Questions

What does this skill do?

使用取证镜像、文件系统分析、产物恢复和时间线重建进行磁盘取证调查,以支持事件响应案例。 使用 FTK Imager、Autopsy 和 The Sleuth Kit 等工具进行证据采集、已删除文件恢复和产物检查。 适用于磁盘取证、硬盘分析、取证镜像、文件恢复、证据采集或数字取证调查等请求场景。

Where can I find the source code?

You can find the source code on GitHub using the link provided at the top of the page.

SKILL.md Source

# 执行磁盘取证调查(Performing Disk Forensics Investigation)

## 适用场景

- 安全事件需要对系统持久存储进行取证分析
- 潜在法律程序或 HR 调查需要保全证据
- 需要恢复已删除文件、浏览器历史或应用产物
- 需要从文件系统元数据重建用户或攻击者的活动时间线
- 需要识别和记录存储在磁盘上的恶意软件持久化机制

**不适用场景**:易失性证据(运行中的进程、网络连接);此类情况应改用 Volatility 进行内存取证。

## 前置条件

- 配备硬件或软件写保护设备的取证工作站(Tableau T35u、Arsenal Image Mounter)
- 取证镜像软件:FTK Imager、Guymager 或带 dcfldd 的 dd
- 分析平台:Autopsy、FTK(Forensic Toolkit)或 X-Ways Forensics
- 充足存储空间(目标磁盘大小的 2-3 倍,用于镜像及工作副本)
- 物理介质的证据链记录表和证据袋
- 证据完整性哈希验证工具(SHA-256)

## 工作流程

### 步骤 1:保全并记录证据

触碰任何存储介质前,建立证据链监管:

- 对系统进行拍照,记录序列号、标签和线缆连接
- 记录证据来源:设备类型、品牌、型号、序列号、容量
- 填写包含日期、时间、操作人姓名和采集原因的证据链表
- 将证据磁盘连接到取证工作站时使用硬件写保护设备

```
证据链记录:
━━━━━━━━━━━━━━━━━━━━━━━
案例 ID:          INC-2025-1547
证据 ID:          EVD-001
描述:             三星 870 EVO 500GB SSD
序列号:           S5XXNJ0R912345
来源主机:         WKSTN-042
采集人:           [分析员姓名]
日期/时间:        2025-11-15T16:30:00Z
写保护设备:       Tableau T35u(序列号:T35U-12345)
```

### 步骤 2:创建取证镜像

对证据磁盘进行逐位复制:

**使用 FTK Imager(Windows):**
1. 通过写保护设备连接证据磁盘
2. 文件 > 创建磁盘镜像 > 选择源磁盘
3. 选择 E01(Expert Witness Format)格式,支持压缩和元数据
4. 设置目标路径和证据项目信息
5. 启用"创建后验证镜像"
6. 记录源磁盘和镜像的哈希值

**使用 dcfldd(Linux):**
```bash
# 创建带哈希验证的原始镜像
dcfldd if=/dev/sdb of=/evidence/WKSTN-042.dd \
  hash=sha256 hashlog=/evidence/WKSTN-042.sha256 \
  bs=4096 conv=noerror,sync

# 验证镜像完整性
sha256sum /evidence/WKSTN-042.dd
```

```
镜像摘要:
源磁盘:    /dev/sdb(三星 870 EVO 500GB)
镜像文件:  WKSTN-042.E01
镜像格式:  E01(Expert Witness)
源哈希:    SHA-256: a1b2c3d4e5f6...
镜像哈希:  SHA-256: a1b2c3d4e5f6...  (匹配)
读取扇区:  976,773,168
错误:       0
持续时间:  47 分钟
```

### 步骤 3:分析文件系统结构

在 Autopsy 或 FTK 中打开取证镜像并检查文件系统:

- 识别分区布局(MBR/GPT,NTFS/ext4/APFS 分区)
- 检查 NTFS 的主文件表(Master File Table,MFT)或 ext4 的 inode 表
- 识别已删除文件和目录(标记为未分配但尚未覆写)
- 使用文件雕刻(File Carving)从未分配空间恢复文件
- 检查 NTFS 替代数据流(Alternate Data Streams,ADS)中的隐藏数据

**需要检查的关键 Windows 产物:**
```
用户活动:
- NTUSER.DAT(每用户注册表蜂巢)
- UsrClass.dat(Shellbags、文件访问历史)
- 最近文件:%AppData%\Microsoft\Windows\Recent\
- 跳转列表:%AppData%\Microsoft\Windows\Recent\AutomaticDestinations\

程序执行:
- Prefetch:C:\Windows\Prefetch\*.pf
- Amcache:C:\Windows\appcompat\Programs\Amcache.hve
- SRUM:C:\Windows\System32\SRU\SRUDB.dat
- ShimCache:SYSTEM 注册表蜂巢

持久化:
- 计划任务:C:\Windows\System32\Tasks\
- 启动文件夹:%AppData%\Microsoft\Windows\Start Menu\Programs\Startup\
- 服务:SYSTEM 注册表蜂巢

网络:
- WLAN 配置文件:C:\ProgramData\Microsoft\Wlansvc\Profiles\
- 浏览器历史:Chrome、Firefox、Edge 配置目录
```

### 步骤 4:重建时间线

构建文件系统活动的综合时间线:

**使用 Autopsy 时间线模块:**
1. 从所有可用来源(MFT、事件日志、浏览器历史、Prefetch)生成时间线
2. 筛选到调查时间范围
3. 识别与事件相关的活动簇
4. 基于文件创建、修改和访问时间戳记录攻击者行动序列

**使用 The Sleuth Kit(命令行):**
```bash
# 从 NTFS 镜像生成 body 文件
fls -r -m / WKSTN-042.dd > bodyfile.txt

# 从 body 文件创建时间线
mactime -b bodyfile.txt -d > timeline.csv

# 筛选时间线到调查时间段
grep "2025-11-15" timeline.csv | sort > incident_timeline.csv
```

### 步骤 5:恢复并分析产物

提取和分析特定取证产物:

- **Prefetch 文件**:使用 PECmd 解析以确定程序执行时间和加载的 DLL
- **事件日志**:使用 EvtxECmd 解析 Windows XML 事件日志
- **注册表**:使用 RegRipper 或 Registry Explorer 解析用户活动和系统配置
- **浏览器产物**:使用 Hindsight(Chrome)、KAPE 或 DB Browser 处理 SQLite 数据库
- **USB 设备历史**:从 SYSTEM\CurrentControlSet\Enum\USBSTOR 注册表键提取
- **$MFT 分析**:使用 MFTECmd 解析,包含 $SI 和 $FN 时间戳的详细文件元数据

### 步骤 6:记录发现

编写适合法律程序的取证分析报告:

- 维护证据完整性文档(哈希链)
- 记录使用的每个工具及其版本
- 以可重现的方式记录所有分析步骤
- 客观地呈现发现,不作推测
- 明确区分事实(观察到的数据)和解释(分析员结论)

## 核心概念

| 术语 | 定义 |
|------|------|
| **取证镜像(Forensic Image)** | 存储介质的逐位副本,保留所有数据,包括已删除文件和未分配空间 |
| **写保护设备(Write Blocker)** | 防止在采集过程中对证据介质进行任何修改的硬件或软件设备 |
| **E01 格式** | EnCase 和 FTK 使用的 Expert Witness Format;支持压缩、元数据和内置哈希验证 |
| **文件雕刻(File Carving)** | 在未分配磁盘空间中搜索文件头和尾部以重建已删除文件的恢复技术 |
| **MFT(主文件表)** | NTFS 元数据结构,包含每个文件和目录的条目,包括已删除条目 |
| **MAC 时间戳** | 文件的修改(Modified)、访问(Accessed)、创建(Created)时间戳,用于时间线重建(NTFS 还有条目修改时间) |
| **Prefetch** | 记录程序执行元数据的 Windows 产物;包含执行次数、时间戳和加载的 DLL |
| **未分配空间(Unallocated Space)** | 未分配给任何文件的磁盘扇区;可能包含通过雕刻恢复的已删除文件残留 |

## 工具与系统

- **FTK Imager**:免费取证镜像工具,支持 E01、AFF 和原始格式,内置哈希验证
- **Autopsy**:基于 The Sleuth Kit 构建的开源数字取证平台,用于全面磁盘分析
- **KAPE(Kroll Artifact Parser and Extractor)**:用于快速产物提取的分类采集和解析工具
- **X-Ways Forensics**:商业取证分析工具,以大型数据集的速度和效率著称
- **Eric Zimmerman 工具套件**:免费 Windows 产物解析器套件(PECmd、MFTECmd、EvtxECmd、RegRipper)

## 常见场景

### 场景:员工数据盗窃调查

**背景**:员工已提交辞职,怀疑在离职前将专有文件复制到 USB 驱动器。HR 要求对员工工作站进行取证调查。

**方法**:
1. 使用写保护设备通过 FTK Imager 对工作站磁盘进行镜像
2. 从 SYSTEM 注册表解析 USB 设备历史,识别已连接设备
3. 检查 Shellbags 和跳转列表,查找文件浏览和复制到可移动介质的证据
4. 解析"最近"文件夹中的 LNK 文件,识别最近访问的文档
5. 分析浏览器历史,查找个人云存储上传(Google Drive、Dropbox)
6. 构建时间线,将 USB 连接事件与文件访问事件关联

**注意事项**:
- IT 部门重新分配工作站前未能及时镜像磁盘
- 未将云存储浏览历史与 USB 证据一并检查
- 忽视了可能包含已删除文件早期版本的卷影副本
- 将分析结论作为事实呈现而缺乏支撑证据文档

## 输出格式

```
磁盘取证调查报告
=====================================
案例 ID:          INC-2025-1547
证据:             EVD-001(三星 870 EVO 500GB SSD)
检查人:           [姓名]
分析日期:         2025-11-16

证据完整性
源哈希:      SHA-256: a1b2c3d4e5f6...
镜像哈希:    SHA-256: a1b2c3d4e5f6... (验证匹配)
写保护设备:  Tableau T35u

分区布局
分区 1:  NTFS  100 MB   (系统保留)
分区 2:  NTFS  465 GB   (C: - 操作系统和数据)
分区 3:  NTFS  500 MB   (恢复分区)

关键发现
1. [时间戳] - 恶意软件投放器在 %TEMP% 创建(update.exe)
2. [时间戳] - 创建计划任务 "WindowsUpdate" 以实现持久化
3. [时间戳] - Prefetch 显示 update.exe 执行 14 次
4. [时间戳] - USB 设备 "Kingston DataTraveler" 已连接
5. [时间戳] - 847 个文件复制到 E:\ 驱动器(Shellbag 证据)

已恢复产物
- 从未分配空间恢复 3 个已删除恶意软件样本
- 浏览器历史显示访问过 C2 控制面板
- 注册表证据显示安全软件被禁用

时间线
[按时间顺序列出事件,包含时间戳和证据来源]

使用工具
- FTK Imager 4.7.1(镜像)
- Autopsy 4.21.0(分析)
- PECmd 1.5.0(Prefetch 解析)
- MFTECmd 1.2.2(MFT 分析)
```

Related Skills

performing-yara-rule-development-for-detection

9
from killvxk/cybersecurity-skills-zh

通过识别可执行文件中的唯一字节模式、字符串和行为指标,开发精准的 YARA 恶意软件检测规则,同时将误报率降至最低。

performing-wireless-security-assessment-with-kismet

9
from killvxk/cybersecurity-skills-zh

使用 Kismet 通过被动射频监控进行无线网络安全评估,检测流氓接入点(Rogue AP)、隐藏 SSID、弱加密和未授权客户端。

performing-wireless-network-penetration-test

9
from killvxk/cybersecurity-skills-zh

执行无线网络渗透测试,通过捕获握手包、破解 WPA2/WPA3 密钥、检测流氓接入点以及使用 Aircrack-ng 和相关工具测试无线网络分段,评估 WiFi 安全性。

performing-windows-artifact-analysis-with-eric-zimmerman-tools

9
from killvxk/cybersecurity-skills-zh

使用 Eric Zimmerman 的开源 EZ Tools 套件(包括 KAPE、MFTECmd、PECmd、LECmd、JLECmd 和 Timeline Explorer)执行全面的 Windows 取证制品分析,解析注册表 hive、预取文件、事件日志和文件系统元数据。

performing-wifi-password-cracking-with-aircrack

9
from killvxk/cybersecurity-skills-zh

在授权无线安全评估中捕获 WPA/WPA2 握手包,并使用 aircrack-ng、hashcat 和字典攻击进行离线密码破解, 以评估密码短语强度和无线网络安全状况。

performing-web-cache-poisoning-attack

9
from killvxk/cybersecurity-skills-zh

在授权安全测试期间,通过未纳入缓存键的头部和参数毒化缓存响应,利用 Web 缓存机制向其他用户投递恶意内容。

performing-web-cache-deception-attack

9
from killvxk/cybersecurity-skills-zh

通过利用 CDN 缓存层与源服务器之间的路径规范化差异,执行 Web 缓存欺骗攻击,从而缓存并获取敏感的已认证内容。

performing-web-application-vulnerability-triage

9
from killvxk/cybersecurity-skills-zh

使用 OWASP 风险评级方法论对 DAST/SAST 扫描器的 Web 应用程序漏洞发现进行分类,区分真阳性和假阳性,并确定修复优先级。

performing-web-application-scanning-with-nikto

9
from killvxk/cybersecurity-skills-zh

Nikto 是一款开源 Web 服务器和 Web 应用程序扫描器,可针对超过 7,000 个潜在危险文件/程序进行测试,检查超过 1,250 个服务器的过期版本,并识别超过 270 个服务器的版本特定问题。

performing-web-application-penetration-test

9
from killvxk/cybersecurity-skills-zh

遵循 OWASP Web 安全测试指南(WSTG)方法论,对 Web 应用程序执行系统化安全测试,识别认证、授权、 输入验证、会话管理和业务逻辑中的漏洞。测试人员以 Burp Suite 作为主要拦截代理,结合手动测试技术 发现自动化扫描器遗漏的缺陷。适用于 Web 应用渗透测试、OWASP 测试、应用安全评估或 Web 漏洞测试等请求场景。

performing-web-application-firewall-bypass

9
from killvxk/cybersecurity-skills-zh

使用编码技术、HTTP 方法操控、参数污染和载荷混淆绕过 Web 应用防火墙保护,将 SQL 注入、XSS 及其他攻击载荷穿透 WAF 检测规则。

performing-vulnerability-scanning-with-nessus

9
from killvxk/cybersecurity-skills-zh

使用 Tenable Nessus 执行认证和未认证漏洞扫描,识别网络基础设施、服务器和应用程序中的已知漏洞、 错误配置、默认凭据和缺失补丁。扫描器将发现与 CVE 数据库和 CVSS 评分关联,生成优先级修复指导。 适用于漏洞扫描、Nessus 评估、补丁合规检查或自动化漏洞检测等请求场景。