• 2007/02/02　初版
  • Author kikuzou

• オープンソースのファイルシステムフォレンジックツール
• 以下2つのツールで構成される
  • The Sleuth Kit
    • コマンドラインツール群
  • The Autopsy Forensic Browser
    • WebブラウザベースのGUIフロントエンド
• ddイメージや EnCaseの証拠ファイル(E0形式)などを解析可能
• 以下のような機能がある
  • ファイルやディレクトリの内容を閲覧
  • 削除されたファイルの表示機能
  • ファイルシステム構造の詳細表示
  • キーワード検索機能
  • タイムラインの生成
  • ハッシュ値の確認

• The Sleuth Kit 2.07
• The Autopsy Forensic Browser 2.08

• WindowsXP Professional SP2 日本語版
• Cygwin

• Cygwin が正常に動作していること
  • Cygwin上で以下が必要
    • perl, grep,

• The Sleuth Kit 公式サイト
• The Autopsy Forensic Browser 公式サイト
• Autopsy 日本語ヘルプ

# cd /usr/local/src
# wget http://jaist.dl.sourceforge.net/sourceforge/sleuthkit/sleuthkit-2.07.tar.gz
# tar xvzf sleuthkit-2.07.tar.gz
# cp -r sleuthkit-2.07 /usr/local/
# cd /usr/local/
# ln -s sleuthkit-2.07 sleuthkit
# cd sleuthkit
# make

# mkdir /var/evidence  ※Caseの保存先(データやログ等)
#
# cd /usr/local/src
# wget http://jaist.dl.sourceforge.net/sourceforge/autopsy/autopsy-2.08.tar.gz
# tar xvzf autopsy-2.08.tar.gz
# cp -r autopsy-2.08 /usr/local/
# cd /usr/local/
# ln -s autopsy-2.08 autopsy
# cd autopsy
# make

   Autopsy Forensic Browser Installation

perl found: /usr/bin/perl (version v5.8.7)

—————————————————————

Autopsy uses the grep utility from your local system.
grep found: /usr/bin/grep

—————————————————————

Autopsy uses forensic tools from The Sleuth Kit.
          http://www.sleuthkit.org/sleuthkit/

Enter the directory where you installed it:
/usr/local/sleuthkit [Enter]
  Sleuth Kit bin directory was found
  Version 2.07 found
  Required version found

—————————————————————

The NIST National Software Reference Library (NSRL) contains
hash values of known good and bad files.
         http://www.nsrl.nist.gov

Have you purchased or downloaded a copy of the NSRL (y/n) [n]
n [Enter]

—————————————————————

Autopsy saves configuration files, audit logs, and output to the
Evidence Locker directory.

Enter the directory that you want to use for the Evidence Locker:
/var/evidence [Enter]
  /var/evidence already exists

—————————————————————

Settings saved to conf.pl.
Execute the ‘./autopsy’ command to start with default settings.

# 

# cd /usr/local/autopsy
# ./autopsy -C <WebGUIを使用するクライアントPCのIPアドレス>

============================================================================

                       Autopsy Forensic Browser 
                  http://www.sleuthkit.org/autopsy/
                             ver 2.08 

============================================================================
Evidence Locker: /var/evidence

CYGWIN Mode (Internal path contains /bin, /usr/bin, and /usr/local/bin)

Start Time: Fri Feb  2 13:05:55 2007
Remote Host: 192.168.1.100
Local Port: 9999

Open an HTML browser on the remote host and paste this URL in it:

    http://<Autopsy実行ホスト名>:9999/autopsy

Keep this process running and use <ctrl-c> to exit

usage: ./autopsy [-c] [-C] [-d evid_locker] [-p port] [remoteaddr]
  -c: force a cookie in the URL
  -C: force NO cookie in the URL
  -d dir: specify the evidence locker directory
  -i device filesystem mnt: Specify info for live analysis
  -p port: specify the server port (default: 9999)
  remoteaddr: specify the host with the browser (default: localhost)

• Autopsy実行後、Webブラウザにて以下URLにアクセスする
  • http://<Autopsy実行ホスト名>:9999/autopsy