PyFlag電子取證工具軟件

PyFlag 是一個(gè)使用 python 語言編寫電子取證工具軟件。PyFlag 工作流程如圖 6。

圖 PyFlag 工作流程

安裝 PyFlag

PyFlag 安裝比較困難，特別是對于 Linux 初級用戶。首先要建立一個(gè)完整的 AMP 環(huán)境，另外 python 語言軟件包也要完整安裝。

 # apt-get install darcs automake autoconf libtool build-essentials 
 python-dev libz-dev libmagic-dev python-mysqldb python-imaging python-pexpect 
 python-dateutil python-urwid libgeoip-dev libjpeg62-dev 

然后下載 PyFlag 源代碼安裝。

使用 PyFlag

使用終端運(yùn)行 PyFlag 命令啟動程序，當(dāng) PyFlag 開始運(yùn)行后，你不能關(guān)閉終端，因?yàn)?PyFlag 進(jìn)程是作為終端的一個(gè)子進(jìn)程在運(yùn)行的，如果關(guān)閉終端的話，PyFlag 進(jìn)程也將終止運(yùn)行。現(xiàn)在使用瀏覽器打開 http://127.0.0.1：8000，此時(shí)開始顯示下面的 PyFlag 界面如圖 。

圖 PyFlag 工作界面

PyFlag 界面包括如下部分：

Case Management ：案件管理

Load Data ：加載數(shù)據(jù)

Configuration ：配置 PyFlag

Disk Forensics ：磁盤取證

Keyword Indexing ：關(guān)鍵字搜索

Log Analysis ：日志分析

Network Forensics ：網(wǎng)絡(luò)取證

Preview ：預(yù)覽

Test ：生成取證報(bào)告

開始工作前可以對 PyFlag 進(jìn)行配置如圖 8 。

圖 對 PyFlag 進(jìn)行配置

單擊“New Case”，開始使用 PyFlag。下面添加磁盤或者分區(qū)的鏡像文件完整路徑，如 /tmp/c3，接下來選擇映像文件是類型 ( 磁盤或扇區(qū) )，如圖 9 。

圖 映像文件是類型 ( 磁盤或扇區(qū) )

然后按“Submit”按鈕即成功加入鏡像。然后系統(tǒng)會分析這個(gè)虛擬文件系統(tǒng)（VFS）如圖 10。

圖分析這個(gè)虛擬文件系統(tǒng)（VFS）

VFS 是一種軟件機(jī)制，也許稱它為 Linux 的文件系統(tǒng)管理者更確切點(diǎn)，與它相關(guān)的數(shù)據(jù)結(jié)構(gòu)只存在于物理內(nèi)存當(dāng)中。所以在每次系統(tǒng)初始化期間，Linux 都首先要在內(nèi)存當(dāng)中構(gòu)造一棵 VFS 的目錄樹 ( 在 Linux 的源代碼里稱之為 namespace)，實(shí)際上便是在內(nèi)存中建立相應(yīng)的數(shù)據(jù)結(jié)構(gòu)。VFS 目錄樹在 Linux 的文件系統(tǒng)模塊中是個(gè)很重要的概念。還可以通過點(diǎn)擊具體的單個(gè)文件查看詳細(xì)情況包括被刪除的文件，如圖 11 。

通過點(diǎn)擊具體的單個(gè)文件查看詳細(xì)情況包括被刪除的文件

也可以使用 Download 按鈕下載文件詳細(xì)清單到本地，文件格式是 csv。最后可以把分析結(jié)果生成一個(gè)報(bào)表圖 12 是報(bào)表選項(xiàng)。

報(bào)表選項(xiàng)