AWS数字取证实战指南（四）

云端分析本地证据源

在AWS中分析证据的主要优势之一是，我们可以轻松且低成本（短期）地启动具有强大处理能力的实例。这可以大大缩短证据项目的处理时间，在需要快速获取答案时非常有用。

可能遇到的几个障碍：

假设您已经完成证据的镜像和哈希处理，确保未使用FileVault或BitLocker加密，并准备开始深入分析。我们现在可以将一些证据上传到AWS存储卷进行分析。

有许多SSH客户端可用于将证据传输到AWS，最常用的是PuTTy。作为Mac用户，我个人最喜欢的是Cyberduck。

通过SSH连接后，我们可以上传证据。如图所示，这个7GB的镜像文件通过商业光纤宽带连接大约需要30分钟。

证据上传完成后，我们当然需要再次进行哈希校验以确保完整性和连续性。

1

ubuntu@ip-17x-x1-x-x9:/mnt/evidence$ md5sum Evidence101.E01

像Log2Timeline这样的工具可以使用您分配的所有线程，这正是您拥有更多CPU处理能力的更强大实例真正发挥作用的地方。

查看Windows在线分析选项，显然有大量取证工具也可以在Windows中运行。然而，一些Windows商业取证软件包的问题在于它们对硬件加密狗的依赖。没关系，也有解决方案，包括设置本地USB服务器将加密狗共享到远程主机。

这就是VirtualHere的用武之地。

VirtualHere也是在本地网络中的系统间共享加密狗的好方法。

现在我们有一些处理后的输出，我们可以使用云实例中安装的工具就地分析，或者使用SSH客户端将其拉取到本地系统。

接下来，我将介绍从AWS实例捕获证据的稍微复杂的问题。