AnuragRSimha/Redstone

 # 介绍 ## 图像证据与数字取证 如今，网络犯罪已成为一种不可避免的威胁。随着技术的进步，网络犯罪分子采用各种五花八门的技术来实现其邪恶的目的。为了打击这些网络恶棍，网络调查人员应运而生。网络警察/调查人员会获取一份证据，在技术上称为_磁盘镜像_，它可以被刻录到连接在调查人员电脑上的任何磁盘中。一些常见的磁盘镜像扩展名有 .IMG、.ISO 和 .E01。 ## 关于 Redstone Redstone 是一款功能与 FTK Imager 或 The Sleuth Kit (TSK) 的 Autopsy 类似的工具。调查人员可以向该工具提供一个证据文件（磁盘镜像），并让 Redstone 花费几秒钟时间将其所有内容提取到一个文件夹中。它本质上是一个磁盘镜像提取器，旨在帮助调查人员更深入地挖掘案件。对于体积庞大的文件，Redstone 可能需要花费一段时间才能完成将其提取到指定目录的操作。 # 执行 ## I. Linux 系统 ### A. 磁盘镜像文件 1. 确保您已安装 Python。 2. 假设有一个名为 NTFS.img 的示例磁盘文件 要提取其内容，请输入： ``` python3 redstone.py NTFS.img``` 或者， ```python redstone.py NTFS.img``` ### B. Encase 镜像文件 (.E01) 1. 按照前述方法运行程序。 2. 当提示您输入时，可以接受以空格分隔的序列。 格式：file_system offset a) 第一个参数是镜像文件中某个分区的文件系统（请选择单个分区）。可以通过查看您面前显示的表格中的“Description”来确定。 b) 第二个参数是一个偏移量，只接受数字。这是从目标分区的“Start”列中获取的。只需输入连续零之后的那些数字即可。 ## II. Windows 系统 （不支持 Encase 文件） 1. 从 https://7-zip.org/download.html 安装 7-Zip （重要提示：请记住您在安装过程中提供的路径。） 2. 确定用于存储磁盘镜像所有内容的目标位置。 3. 复制源文件的路径。 4. 运行以下命令，替换镜像文件和目标文件夹名称： ```python3 redstone.py NTFS.img extracted``` 5. 系统会提示您提供 7-Zip 目录的路径。请输入您在此过程第 1 步中记录的路径。

标签：Autopsy 类似工具, .E01, Encase, FTK Imager 替代, .IMG, .ISO, meg, NTFS, Python, 信息安全, 司法取证, 域环境安全, 开源安全工具, 快速取证, 数字取证, 数字证据, 数据提取, 文件系统, 无后门, 磁盘挂载, 磁盘提取, 磁盘镜像, 网络犯罪调查, 自动化取证, 自动化脚本, 逆向工具, 逆向工程平台, 镜像提取, 镜像解析