案例和數據源

Autopsy按案例組織數據。每個案例可以具有一個或多個數據源，這些數據源可以是磁盤映像，一組邏輯文件，連接USB的設備等。

案例可以是單用戶或多用戶。多用戶案例允許多個審查員同時檢查數據并進行協作，但需要配置一些其他開源服務器。

當您有多個數據源并決定創建案例時，請考慮：

• 一次只能打開一個案例
• 報告是在案例級別生成的
• 在相同情況下有許多大數據源時，應用程序可能會變慢

創建案例

要創建案例，請使用“歡迎”屏幕上的“創建新案例”選項或使用“案例”菜單。這將啟動“ 新建案例向導”。您需要為其提供案例名稱和用于存儲案例結果的目錄。您可以選擇提供案例編號和審閱者姓名。

添加數據源

下一步是將輸入數據源添加到案例。創建案例后，“ 添加數據源向導”將自動啟動，或者您可以從“案例”菜單或工具欄手動啟動它。您將需要選擇要添加的輸入數據源的類型（圖像，本地磁盤或邏輯文件和文件夾）。接下來，向其提供要添加的源的位置。

• 對于磁盤映像，請瀏覽到該集中的第一個文件（“Autopsy”將查找其余文件）。Autopsy當前支持E01和原始（dd）文件。
• 對于本地磁盤，選擇檢測到的磁盤之一。Autopsy會將磁盤的當前視圖添加到案例（即元數據的快照）。但是，單個文件內容（不是元數據）的確會隨著對磁盤的更改而更新。您可以選擇創建從本地磁盤讀取的所有數據到VHD文件的副本，這對于分流情況很有用。注意，您可能需要以管理員身份運行“尸檢”才能檢測所有磁盤。
• 對于邏輯文件（單個文件或文件文件夾），請使用“添加”按鈕將系統上的一個或多個文件或文件夾添加到案例中。文件夾將被遞歸添加到案例中。

接下來，它將提示您配置攝取模塊。

攝取模塊

接收模塊負責分析數據源內容，并將在后臺運行。提取模塊按優先順序分析文件，以便先分析用戶目錄中的文件，然后再分析其他文件夾中的文件。攝取模塊可以由第三方開發。

Autopsy包括的標準攝取模塊為：

• 最近活動模塊提取由網絡瀏覽器和操作系統保存的用戶活動。還可以在注冊表配置單元上運行Regripper。
• 哈希查找模塊使用哈希集來忽略NIST NSRL中的已知文件并標記已知的錯誤文件。使用“高級”按鈕添加和配置在此過程中使用的哈希集。提取時，您將獲得有關已知錯誤文件命中的更新。您以后可以通過主UI中的“工具”->“選項”菜單添加哈希集。您可以從 http://sourceforge.net/projects/autopsy/files/NSRL/下載NIST NSRL的索引。
• 文件類型識別模塊根據簽名確定文件類型，并根據MIME類型報告它們。它將結果存儲在Blackboard中，許多模塊依賴于此。它使用Tika開源庫。您可以在“工具”，“選項”，“文件類型”中定義自己的自定義文件類型。
• 擴展名不匹配檢測器模塊使用文件類型標識的結果并標記具有傳統上與文件的檢測到的類型不相關聯的擴展名的文件。忽略“已知”（NSRL）文件。您可以在工具，選項，文件擴展名不匹配中自定義MIME類型和每種MIME類型的文件擴展名。
• 嵌入式文件提取模塊將打開ZIP，RAR，其他存檔格式，Doc，Docx，PPT，PPTX，XLS和XLSX，并通過攝取管道將這些文件的派生文件發送回去進行分析。
• EXIF解析器模塊從JPEG文件中提取EXIF信息，并將結果發布到主UI中的樹中。
• 關鍵字搜索模塊使用關鍵字列表來識別其中包含特定單詞的文件。您可以選擇要自動搜索的關鍵字列表，也可以使用“高級”按鈕創建新列表。請注意，通過關鍵字搜索，您可以始終在提取完成后進行搜索。您會在搜索過程中定期搜索您選擇的關鍵字列表，并實時獲得結果。在執行關鍵字搜索之前，您不需要等待所有文件都被索引，但是在執行搜索時，您只會從已被索引的文件中獲取結果。
• 電子郵件解析器模塊根據文件簽名識別Thunderbird MBOX文件和PST格式文件，從中提取電子郵件，并將結果添加到Blackboard。
• 加密檢測模塊查找加密的文件。
• 有趣的文件標識符模塊根據用戶在“工具”，“選項”，“有趣的文件”中指定的規則搜索文件和目錄。它用作“文件警報模塊”。找到指定文件后，它將在收件箱中生成消息。
• 中央存儲庫模塊將文件哈希和其他提取的屬性添加到中央存儲庫，以供將來關聯并標記以前值得注意的文件。
• PhotoRec Carver模塊從未分配的空間中雕刻文件，并通過文件處理鏈發送它們。
• 虛擬機提取器模塊從虛擬機文件中提取數據
• 數據源完整性模塊計算E01文件的校驗和，并與E01文件的內部校驗和進行比較以確保它們匹配。
• 無人機分析器從無人機文件中提取數據。
• Plaso使用Plaso創建時間軸事件。
• Android Analyzer模塊可讓您解析Android設備中的常見項目。將工件放入Blackboard。
• GPX Analyzer從.gpx文件中提取地理位置數據。

選擇模塊時，可以選擇更改其設置。例如，您可以配置在攝取期間要使用哪些關鍵字搜索列表以及要使用哪些哈希集。有關配置每個模塊的詳細信息，請參閱各個模塊的幫助。

當提取模塊在后臺運行時，您將在右下方看到進度條。您可以使用GUI查看傳入結果并在同時攝取的同時執行其他任務。

分析基礎

提取模塊開始分析數據源后，您將看到主分析界面。您可以選擇搜索特定項目，瀏覽到特定文件夾或查看攝取模塊結果。

您將從左側的樹開始所有分析技術。

• 數據源根節點顯示案例中的所有數據。
  • 在這種情況下，單個映像節點顯示磁盤映像或本地磁盤的文件系統結構。
  • LogicalFileSet節點在這種情況下顯示邏輯文件。
• “視圖”節點從不同的角度顯示相同的數據，例如按文件類型組織。
• “結果”節點顯示攝取模塊的輸出。

當您從左側的樹中選擇一個節點時，文件列表將顯示在右上方。您可以使用右上角的縮略圖視圖查看圖片。當您從右上方選擇一個文件時，其內容將顯示在右下方。您可以使用右下角的選項卡查看文件的文本，圖像或十六進制數據。

如果要從“視圖和結果”節點查看文件，則可以右鍵單擊文件以轉到其文件系統位置。此功能對于查看用戶與您當前正在查看的文件存儲在同一文件夾中的其他內容很有用。您也可以右鍵單擊文件以將其解壓縮到本地系統。

如果要搜索單個關鍵字，則可以使用程序右上方的搜索框。結果將顯示在右上方的表格中。

左側的樹和右側的表均具有UI快速搜索功能，可用于快速查找可見節點。

您可以標記（添加書簽）任意文件，以便以后可以更快地找到它們，或者可以將它們專門包含在報告中。

其他分析界面

除了左側帶有樹的3面板UI外，還有其他一些更專用的界面。

時間線

可以從“工具”菜單或工具欄打開時間線功能。這將顯示您使用各種顯示技術按時間組織的文件系統和其他事件。有關更多詳細信息，請參見“ 時間軸”部分。

圖片庫

圖像庫專注于顯示按文件夾組織的數據源中的圖片和視頻。一旦文件被散列并提取EXIF數據，它將立即向您顯示文件。您可以從“工具”菜單中打開它。有關更多詳細信息，請參見“ 圖庫模塊”部分。

通訊技術

通訊界面側重于顯示與哪些帳戶進行了最多的通信以及發送了哪些消息。它使您可以專注于特定日期范圍內的特定關系或交流。您可以從“工具”菜單中打開它。有關更多詳細信息，請參見“ 通信可視化工具”部分。

示例用例

在本節中，我們將提供有關如何執行常見分析任務的示例。

網絡工件

如果要查看用戶的最近網絡活動，請確保已啟用“最近活動”攝取模塊。然后，您可以轉到左側樹中的“結果”節點，然后進入“提取的數據”節點。在這里，您可以找到書簽，Cookie，下載和歷史記錄。

已知的哈希文件

如果要查看數據源是否已知錯誤文件，請確保已啟用“哈希查找”攝取模塊。然后，您可以在左側樹的“結果”區域中查看“哈希命中”部分。請注意，哈希查找可能需要很長時間，因此只要正在進行提取過程，此部分就會更新。使用“收件箱”來跟蹤最近發現的已知錯誤文件。

當您在此界面中找到一個已知的錯誤文件時，您可能需要右鍵單擊該文件以查看該文件的原始位置。您可能會發現其他相關文件，并與該文件存儲在同一文件夾中。

媒體：圖像和視頻

如果要查看磁盤映像上的所有映像和視頻，請轉到左側樹中的“視圖”部分，然后轉到“文件類型”。選擇“圖像”或“視頻”。您可以使用右上角的縮略圖選項查看所有圖像的縮略圖。

您可以從右上方選擇圖像或視頻，然后在右下方查看視頻或圖像。視頻將有聲播放。

報告中

可以使用“生成報告”工具欄按鈕生成最終報告，其中將包括所有分析結果。報表可以HTML，XLS，KML和其他格式生成。

您稍后可以通過轉到樹并打開底部的“報告”節點來查找生成的報告。