<menu id="guoca"></menu>
<nav id="guoca"></nav><xmp id="guoca">
  • <xmp id="guoca">
  • <nav id="guoca"><code id="guoca"></code></nav>
  • <nav id="guoca"><code id="guoca"></code></nav>
    Autopsy中文使用教程(用戶版)
    展開或關閉
    Autopsy安裝
    安裝Autopsy Autopsy 優化性能 Autopsy 多用戶集群
    Autopsy快速入門指南
    Autopsy 快速入門指南
    Autopsy案例和添加數據源
    Autopsy工作流程 Autopsy 案例 Autopsy 數據源 Autopsy 查看案例日志和輸出
    Autopsy攝取模塊
    Autopsy 攝取模塊 Autopsy 最近活動模塊 Autopsy 哈希查找模塊 Autopsy 文件類型識別模塊 Autopsy 嵌入式文件提取模塊 EXIF解析器模塊 關鍵字搜索模塊 電子郵件解析器模塊 擴展不匹配檢測器模塊 數據源完整性模塊 Android分析器模塊 有趣的文件標識符模塊 PhotoRec Carver模塊 中央存儲庫模塊 加密檢測模塊 虛擬機提取器模塊 普拉索 無人機分析儀 GPX分析儀
    Autopsy查看結果
    用戶界面布局 樹查看器 結果查看器 內容查看器 機器翻譯 搜索所有案例
    Autopsy正在搜尋
    UI快速搜索 檔案搜尋 臨時關鍵字搜索 STIX 常用屬性搜索
    Autopsy專業觀眾
    圖片庫模塊 時間線 通訊可視化工具 地理位置 發現 角色
    Autopsy報告中
    標記和評論 報告中
    安裝第三方模塊
    安裝第三方模塊
    中央儲存庫
    中央儲存庫
    其他工作流程
    分流 邏輯成像儀 命令行提取
    實驗模塊
    實驗模塊 自動攝取 物體檢測 波動率數據源處理器

    Autopsy 攝取模塊

    Autopsy中文使用教程(用戶版) /

    提取模塊分析數據源中的數據。他們對文件進行所有分析并解析其內容。示例包括哈希計算和查找關鍵字搜索以及Web工件提取

    在將數據源添加到案例之后(請參見數據源),您將立即看到一個對話框,用于配置要在其上運行的攝取模塊。配置完成后,它們將在后臺運行,并在找到相關信息時為您提供實時結果。

    該頁面介紹了攝取模塊的使用。特定頁面將涵蓋特定模塊的配置。有關安裝第 3方攝取模塊的詳細信息,請參見安裝第 3方模塊。

    多線程和優先級

    提取模塊配置為快速查找用戶內容。攝取模塊被分組到管道中,并且每個文件逐個模塊地進入管道。管道可能具有以下順序的模塊:

    ingest_pipeline.PNG

    多個管道可能同時運行。默認情況下,兩個管道正在運行,但是您可以根據系統上有多少個內核來添加更多管道。您可以在“工具”,“選項”,“常規”區域中配置要制作的管道數量。

    Autopsy會將用戶內容的優先級置于其他類型的文件之上,并將數據從“文檔和設置”文件夾或“用戶”文件夾發送到“ Windows”文件夾之前的管道中。它優先考慮系統中的每個文件夾,以確保先分析用戶內容,然后再分析其他內容。

    運行攝取模塊

    有兩種啟動攝取模塊的方法:

    1. 添加數據源后立即
    2. 通過在主界面中的樹上右鍵單擊數據源,然后選擇“運行攝取模塊”

    開始提取后,您可以在主窗口右下角的任務欄中查看當前正在運行的提取任務。如果需要,用戶可以取消攝取任務。

    注意:有時取消過程可能需要幾秒鐘或更長時間才能完全完成,具體取決于攝取模塊當前正在做什么。

    配置攝取模塊

    將為您提供配置攝取模塊的界面。從這里,您可以選擇要分析和啟用或禁用每個模塊的文件類型。一些模塊將具有進一步的配置設置。

    選擇目標模塊

    頂部的選擇框控制攝取模塊將在哪些文件上運行。內置的兩個選項是“所有文件,目錄和未分配空間”和“所有文件和目錄”。“ 自定義文件過濾器”部分介紹了如何創建自定義文件過濾器。所選過濾器適用于所有提取模塊。

    有兩個地方可以配置攝取模塊。選擇模塊名稱時,可能會在右側面板中配置一些“運行時”選項。這些通常是您可能希望在圖像之間更改的設置。

    下角可能還會啟用“高級”按鈕。按下此按鈕可以更改并非特定于單個圖像的全局設置。該高級配置面板通常也可以在“工具”,“選項”菜單中找到。

    例如,哈希查找模塊將允許您在“運行時”選項面板中啟用或禁用哈希集,但要求您轉到“高級”對話框以從“Autopsy”配置中添加或刪除哈希集。

    自定義文件過濾器

    可以從攝取模塊選擇面板或通過主選項面板上的攝取選項卡打開文件過濾器面板。文件過濾器允許提取模塊僅在文件的子集上運行。在下面的示例中,已將過濾器設置為僅在擴展名為“png”的文件上運行。

    提取文件過濾器

    每個過濾器包含一個或多個規則,這些規則用于根據文件名,路徑以及文件的最近修改時間來選擇文件。只有一個規則需要匹配才能傳遞文件。此外,您可以輸入多個逗號分隔的文件擴展名。所有文件仍將顯示在樹視圖中,但是攝取模塊將僅在子集上運行。如果我們使用前面的示例并運行哈希模塊,則僅以.png結尾的文件將計算其哈希。

    使用攝取配置文件

    接收配置文件使您可以快速選擇一組要運行的定義的接收模塊。如果您在不同類型的數據上運行不同組的攝取模塊(或這些攝取模塊的不同配置),這將很有用。可以通過選項面板上的“攝取”選項卡配置攝取配置文件。

    提取配置文件

    每個概要文件可以為每個攝取模塊指定不同的每次運行設置,并且您可以選擇使用預定義或自定義文件過濾器(請參閱“ 自定義文件過濾器”)。

    提取配置文件創建

    如果存在任何自定義配置文件,則添加數據源向導中將出現一個新屏幕。

    個人資料數據源面板

    如果您選擇自定義設置,它將彈出正常的攝取模塊選擇面板。如果選擇用戶定義的概要文件,則將完全跳過攝取模塊屏幕,并且該概要文件中的攝取模塊將在數據源上運行。通過右鍵單擊樹中的數據源來運行攝取時,配置文件選擇面板也會出現。

    通知已開始運行

    如果已經為特定數據源運行了攝取模塊,則將在“運行攝取模塊”對話框中的模塊旁邊看到一個帶驚嘆號的三角形黃色圖標,如下面的屏幕快照所示。

    提取已運行

    如果為特定數據源運行了較舊版本的攝取模塊,則在“運行攝取模塊”對話框中,模塊旁邊將帶有一個帶有“ i”的藍色圓形圖標,如下面的屏幕快照所示。

    先前版本已經運行

    單擊“查看記錄歷史記錄”將以表格形式顯示記錄歷史記錄,使您可以查看哪些模塊在哪些數據源上以及何時運行,如下面的屏幕快照所示。

    攝取歷史

    查看提取模塊結果

    接收模塊在后臺運行。攝取模塊可以通過多種方式為您提供結果,但是我們建議您使用以下特定方法:

    1. 如果它們將結果發布到Blackboard,則可以在主界面的樹的“結果”區域中找到它們。

    2. 他們可以向“收件箱”發送消息,以便每次發現真正重要的內容時您都會收到一條消息。

      收件箱按鈕

      收件箱主屏幕

    3. 如果該模塊是另一個取證工具的包裝,則它們可能只是提供指向該工具輸出的鏈接,在這種情況下,您將在樹的“報告”區域中看到一個新條目。

    所有官方的Autopsy模塊都會將結果發送到黑板上,但是,如果您安裝了第三方應用程序,則它們可以選擇任何方法-每次找到東西時都包括一個彈出窗口。

    查看正在進行的攝取活動

    在運行Ingest時,可以使用“ Ingest Progress Snapshot”工具來查看當前正在進行的活動。單擊“幫助”,“獲取攝取進度快照”以查看下面的屏幕快照中顯示的對話框。

    ingest_progress_snapshot.PNG

    要刷新視圖,請使用“刷新”按鈕。

    本文章首發在 網安wangan.com 網站上。

    上一篇 下一篇
    Ann
    資深作者 203 聲望
    暫無個人描述~
    討論數量: 0
    只看當前版本


    暫無話題~
    ? 2021 WANGAN.COM 幫助網安從業者成長;關注產業發展,做網絡安全忠誠衛士!
    亚洲 欧美 自拍 唯美 另类