PyFlag 电子取证工具软件

PyFlag是一个使用python语言编写电子取证工具软件。PyFlag工作流程如图6。

图PyFlag工作流程

安装PyFlag

PyFlag安装比较困难，特别是对于Linux初级用户。首先要建立一个完整的AMP环境，另外python语言软件包也要完整安装。

然后下载PyFlag源代码安装。

使用PyFlag

使用终端运行PyFlag命令启动程序，当PyFlag开始运行后，你不能关闭终端，因为PyFlag进程是作为终端的一个子进程在运行的，如果关闭终端的话，PyFlag进程也将终止运行。现在使用浏览器打开https://127.0.0.1：8000，此时开始显示下面的PyFlag界面如图。

图PyFlag工作界面

PyFlag界面包括如下部分：

CaseManagement：案件管理

LoadData：加载数据

Configuration：配置PyFlag

DiskForensics：磁盘取证

KeywordIndexing：关键字搜索

LogAnalysis：日志分析

NetworkForensics：网络取证

Preview：预览

Test：生成取证报告

开始工作前可以对PyFlag进行配置如图8。

图对PyFlag进行配置

单击“NewCase”，开始使用PyFlag。下面添加磁盘或者分区的镜像文件完整路径，如/tmp/c3，接下来选择映像文件是类型(磁盘或扇区)，如图9。

图映像文件是类型(磁盘或扇区)

然后按“Submit”按钮即成功加入镜像。然后系统会分析这个虚拟文件系统（VFS）如图10。

图分析这个虚拟文件系统（VFS）

VFS是一种软件机制，也许称它为Linux的文件系统管理者更确切点，与它相关的数据结构只存在于物理内存当中。所以在每次系统初始化期间，Linux都首先要在内存当中构造一棵VFS的目录树(在Linux的源代码里称之为namespace)，实际上便是在内存中建立相应的数据结构。VFS目录树在Linux的文件系统模块中是个很重要的概念。还可以通过点击具体的单个文件查看详细情况包括被删除的文件，如图11。

通过点击具体的单个文件查看详细情况包括被删除的文件

也可以使用Download按钮下载文件详细清单到本地，文件格式是csv。最后可以把分析结果生成一个报表图12是报表选项。

报表选项