數據源是您要分析的東西。它可以是磁盤映像，某些邏輯文件，本地磁盤等。您必須先打開案例，然后才能將數據源添加到“Autopsy”中。

Autopsy支持多種類型的數據源：

• 磁盤映像或VM文件：一個文件（或一組文件），是硬盤驅動器或介質卡或虛擬機映像的逐字節副本。（請參閱添加磁盤映像）
• 本地磁盤：本地存儲設備（本地驅動器，連接USB的驅動器等）。（請參閱添加本地磁盤）
• 邏輯文件：本地文件或文件夾。（請參閱添加邏輯文件）
• 未分配的空間映像文件：不包含文件系統但您要通過攝取運行的任何類型的文件（請參閱添加未分配的空間映像文件）
• Autopsy邏輯成像儀結果：運行邏輯成像儀的結果。（請參閱添加Autopsy邏輯成像儀結果）
• XRY文本導出：從XRY導出文本文件的結果。（請參閱添加XRY文本導出數據）

添加數據源

您可以通過以下幾種方式添加數據源：

• 創建案例后，它將自動提示您添加數據源。
• 打開案例時，有一個工具欄項可添加數據源。
• 打開案例時的“案例”，“添加數據源”菜單項。

在分析期間，數據源必須保持可訪問性，因為案例包含對數據源的引用。它并沒有將數據源復制到案例文件夾。

無論數據源的類型如何，該過程中都有一些常用步驟：

1）您將選擇數據源的類型。

2）系統將提示您指定要添加的數據源。此屏幕根據數據源類型而有所不同。下面提供了有關添加每種類型的數據源的詳細信息。

注意：如果要將數據源添加到多用戶案例中，請確保所有Autopsy客戶端都可以在同一路徑上訪問該數據源。我們建議使用UNC路徑來確保這種一致的映射。

3）Autopsy 將對數據源進行基本檢查，并為嵌入式數據庫填充數據源中每個文件的條目。在此過程中不分析任何內容，僅枚舉文件。

4）在檢查數據源時，系統將提示您列出要啟用的攝取模塊。如果已保存一個或多個攝取配置文件，則在此之前將出現一個屏幕，詢問是使用已保存的配置文件之一還是進行自定義設置。有關設置攝取配置文件的更多信息，請參見攝取模塊。

5）配置攝取模塊后，可能需要等待“Autopsy”完成對數據源的基本檢查。

6）配置了攝取模塊并完成了數據源的基本檢查之后，攝取模塊將開始分析文件內容。

可以從使用Autopsy 4.14.0及更高版本創建的案例中刪除數據源。請參見下文。

添加磁盤映像

驗尸支持以下格式的磁盤映像：

• 原始單（* .img，。dd，。raw，*。bin）
• 原始分割（* .001，* .aa）
• 封包（* .e01）
• 虛擬機磁盤（* .vmdk）
• 虛擬硬盤（* .vhd）

要添加磁盤映像：

1. 從數據源類型中選擇“磁盤映像或VM文件”。
2. 瀏覽到磁盤映像中的第一個文件。您只需要指定第一個文件，尸檢將找到其余文件。
3. 選擇在FAT文件系統上執行孤立文件查找。這可能是一個耗時的過程，因為它將需要“尸檢”檢查設備中的每個扇區。
4. 選擇磁盤映像來自的時區。這對于添加FAT文件系統時最重要，因為它不存儲時區信息，并且尸檢將不知道如何標準化為UTC。
5. （可選）選擇扇區大小。自動檢測模式將在大多數圖像上正常工作，但是如果添加數據源失敗，則可能需要嘗試其他扇區大小。
6. （可選）為圖像輸入一個或多個哈希。這些將保存在圖像元數據下，并可使用數據源完整性模塊進行驗證。

添加本地磁盤

Autopsy可以分析本地磁盤，而無需首先對其進行映像復制。通過寫阻止程序分析連接USB的設備時，這非常有用。

請注意，如果您要分析正在更新的本地磁盤，則“Autopsy”將看不到將其添加為數據源后添加的文件。

您需要以管理員身份運行“Autopsy”才能查看所有設備。

在分析期間，可以選擇將本地磁盤的副本復制為VHD。該VHD可以加載到Windows中或通過Autopsy進行分析。還有一個附加選項可將案例數據庫中的圖像路徑更新為此新創建的文件。啟用此選項將使您即使刪除本地磁盤后仍能正常瀏覽案例數據。請注意，至少一個攝取模塊必須成功運行才能生成完整的映像副本。

要添加本地驅動器：

1. 從數據源類型中選擇“本地磁盤”。
2. 使用“選擇磁盤”按鈕打開一個顯示本地磁盤的對話框。加載可能需要一分鐘。然后從列表中選擇設備。
3. 選擇執行孤立文件查找。請參閱添加磁盤映像中有關此設置的評論。
4. 選擇是否創建本地磁盤的VHD副本以及是否更新映像路徑。
5. （可選）選擇扇區大小。自動檢測模式將在大多數圖像上正常工作，但是如果添加數據源失敗，則可能需要嘗試其他扇區大小。

添加邏輯文件

您可以添加本地計算機（或共享驅動器）上的文件或文件夾，而無需將它們放入磁盤映像中。如果您只有要分析的文件集合，這將很有用。

執行此操作時需要注意的一些事項：

• Autopsy會忽略以這種方式添加的文件上的時間戳，因為它們可能是將它們復制到檢查設備上的時間戳。
• 如果要分析的是具有USB連接的設備，并且選擇使用此方法添加設備的內容，請注意，它將不會查看未分配的空間或已刪除的文件。Autopsy將只能看到分配的文件。您應該將設備添加為“邏輯驅動器”以分析未分配的空間。
• 您可以通過單擊下面的屏幕快照中的“更改”按鈕，從默認的LogicalFileSet＃修改邏輯文件集的名稱：

要添加邏輯文件：

1. 從數據源類型中選擇“邏輯文件”。
2. 將頂部的組合框保留在“本地文件和文件夾”上
3. 按下“添加”按鈕并導航到要添加的文件夾或文件。選擇一個文件夾將導致其所有內容（包括子文件夾）被添加。
4. 繼續按“添加”，直到選擇了所有文件和文件夾。

您在面板中添加的所有文件都將組合到一個數據源中，該數據源在主UI中稱為“ LogicalFileSet”。

對邏輯證據（L01）文件的支持也很有限。要將一個添加為數據源，請在頂部組合框中選擇“邏輯證據文件（L01）”，然后瀏覽到您的文件。

添加未分配的空間圖像文件

要添加未分配的空間圖像文件：

1. 從數據源類型中選擇“未分配的空間圖像文件”。
2. 瀏覽到文件。
3. 選擇是否將圖像分解成塊。分解圖像將提供更好的性能，因為可以并行處理塊，但是有可能會錯過跨塊邊界的關鍵字或雕刻文件。

添加Autopsy邏輯成像儀結果

此選項使您可以添加邏輯成像器集合的結果。有關詳細信息，請參見Logical Imager頁面。

添加XRY文本導出數據

XRY文本導出文件夾應該看起來類似于以下內容：

要添加導出的文本文件：

1. 從數據源類型中選擇“ XRY文本導出”。
2. 瀏覽到包含文本文件的文件夾。

刪除數據源

從尸檢4.14.0開始，可以從案例中刪除數據源。刪除數據源將刪除與該數據源關聯的所有文件，以及運行攝取模塊，標記和時間軸數據的所有結果。報告不會被刪除，因為大多數報告都沒有與特定的數據源關聯。如果在處理另一個數據源時創建了一個新的數據源（例如，從虛擬機提取器模塊中），則如果刪除了它的父級，則該新數據源也將被刪除。

要刪除數據源，請在“ 樹查看器”或“ 結果查看器 ”中右鍵單擊它，然后選擇“刪除數據源”。如果案例最初是使用4.14.0之前的Autopsy版本創建的，則此選項將被禁用。在確認對話框之后，該案例將關閉，然后在刪除數據源之后重新打開案例。