PyFlag 电子取证工具软件

PyFlag 是一个使用 python 语言编写电子取证工具软件。PyFlag 工作流程如图 6。 图 PyFlag 工作流程 安装 PyFlag PyFlag 安装比较困难，特别是对于 Linux 初级用户。首先要建立一个完整的 AMP 环境，另外 python 语言软件包也要完整安装。 # apt-get install darcs automake autoconf libtool build-essentials
python-dev libz-dev libmagic-dev python-mysqldb python-imaging python-pexpect
python-dateutil python-urwid libgeoip-dev libjpeg62-dev   然后下载 PyFlag 源代码安装。 使用 PyFlag 使用终端运行 PyFlag 命令启动程序，当 PyFlag 开始运行后，你不能关闭终端，因为 PyFlag 进程是作为终端的一个子进程在运行的，如果关闭终端的话，PyFlag 进程也将终止运行。现在使用浏览器打开 http://127.0.0.1：8000，此时开始显示下面的 PyFlag 界面如图 。 图 PyFlag 工作界面 PyFlag 界面包括如下部分： Case Management ：案件管理 Load Data ：加载数据 Configuration ：配置 PyFlag Disk Forensics ：磁盘取证 Keyword Indexing ：关键字搜索 Log Analysis ：日志分析 Network Forensics ：网络取证 Preview ：预览 Test ：生成取证报告 开始工作前可以对 PyFlag 进行配置如图 8 。 图 对 PyFlag 进行配置 单击“New Case”，开始使用 PyFlag。下面添加磁盘或者分区的镜像文件完整路径，如 /tmp/c3，接下来选择映像文件是类型 ( 磁盘或扇区 )，如图 9 。 图 映像文件是类型 ( 磁盘或扇区 ) 然后按“Submit”按钮即成功加入镜像。然后系统会分析这个虚拟文件系统（VFS）如图 10。 图分析这个虚拟文件系统（VFS） VFS 是一种软件机制，也许称它为 Linux 的文件系统管理者更确切点，与它相关的数据结构只存在于物理内存当中。所以在每次系统初始化期间，Linux 都首先要在内存当中构造一棵 VFS 的目录树 ( 在 Linux 的源代码里称之为 namespace)，实际上便是在内存中建立相应的数据结构。VFS 目录树在 Linux 的文件系统模块中是个很重要的概念。还可以通过点击具体的单个文件查看详细情况包括被删除的文件，如图 11 。 通过点击具体的单个文件查看详细情况包括被删除的文件 也可以使用 Download 按钮下载文件详细清单到本地，文件格式是 csv。最后可以把分析结果生成一个报表图 12 是报表选项。 报表选项