它有什么作用

哈希查找模塊計算文件的MD5哈希值，并在數據庫中查找哈希值，以確定該文件是否值得注意，已知（通常），包含在一組特定文件中或未知。

組態

您可以在“選項”面板上的“哈希集”選項卡上設置和更新哈希集信息。哈希集用于識別“已知”，“顯著”或“不變”的文件。

• 已知的好文件是可以安全忽略的文件。這組文件通常包括標準OS和應用程序文件。忽略此類對研究人員不感興趣的文件，可以大大減少圖像分析時間。
• 值得注意的（或已知的錯誤）文件是那些應該引起注意的文件。此設置將根據調查類型而有所不同，但常見示例包括違禁品圖像和惡意軟件。
• 更改文件不是可以顯示有關系統信息但值得注意的文件。例如，調查人員可能會知道一張圖像包含許多已知為倫敦地圖的文件，但這些地圖本身并不引人注目。

導入哈希集

要導入現有的哈希集，請使用“哈希集”選項面板上的“導入數據庫”按鈕。這將彈出一個對話框來導入文件。

數據庫路徑 -您要導入的哈希集的路徑。Autopsy支持以下格式：

• 文字：每行開頭有一個哈希。例如，在一組文件（* .txt）上運行md5，md5sum或md5deep程序的輸出
• 僅索引：由偵探工具包/Autopsy生成。NSRL可用此格式與Autopsy配合使用（請參閱下文）（* .idx）
• 偵探工具包/Autopsy格式數據庫：Autopsy創建的SQLite哈希集（* .kdb）
• EnCase：EnCase哈希集文件（* .hash）
• HashKeeper：符合HashKeeper標準（* .hsh）的哈希集文件

目標 -目標字段是指哈希集將存儲在何處。

• 本地：哈希集文件將從磁盤上的原始位置使用
• 遠程：哈希集將被復制到中央存儲庫中。使用PostgreSQL中央存儲庫時，這允許多個用戶輕松共享相同的哈希集。

名稱 -哈希集的顯示名稱。將根據文件名建議一個，但是可以更改。

版本 -僅在將哈希集導入中央存儲庫時才能輸入哈希集的版本。此外，如果哈希集不是只讀的，則不能輸入任何版本。

源組織 -僅在將哈希集導入中央存儲庫時才能輸入組織。有關更多信息，請參見管理組織部分。

數據庫類型 -哈希集中的所有條目應為“已知”（可以安全地忽略），“顯著”（可能表示可疑行為）或“無變化”（已知為某種文件類型） 。

將數據庫設為只讀 -只讀設置僅在將哈希集導入中央存儲庫時才處于活動狀態。只讀數據庫不能通過“哈希集”選項面板或上下文菜單添加新的哈希。對于本地導入的哈希集，是否可以寫入它們取決于哈希集的類型。可以編輯Autopsy格式的數據庫（* .kdb），但所有其他類型均為只讀。

為每個匹配發送發送收件箱消息 -確定是否為每個匹配文件發送一條消息。無法為“已知”哈希集啟用此功能。

將哈希集復制到用戶配置文件夾中 -創建哈希集的副本，而不使用現有的哈希集。它旨在與“ 創建Live Triage驅動器” 驅動器一起使用。

索引編制

導入哈希集后，您可能必須先對其進行索引，然后才能使用它。對于大多數散列集類型，“Autopsy”需要散列集的索引才能實際使用散列集。如果僅導入哈希集，則可以創建索引。任何需要索引的哈希集都將顯示為紅色，并且它們的“索引狀態”將指示需要創建索引。只需使用“索引”按鈕即可完成。

Autopsy使用The Sleuth Kit中的哈希集管理系統。您可以使用“ hfind”命令行工具手動創建索引，也可以使用“Autopsy”。如果您嘗試繼續操作而不為哈希集建立索引，則Autopsy將為您自動生成索引。您還可以僅指定索引文件，而不使用完整的哈希集-索引文件足以標識已知文件。這樣可以節省空間。為此，請從“哈希集”選項面板中指定.idx文件。

創建哈希集

可以使用“新哈希集”按鈕創建新哈希集。這些字段與上述導入對話框大部分相同。

在這種情況下，數據庫路徑是新數據庫的存儲位置。如果正在使用中央存儲庫，則不需要此字段。

將哈希添加到哈希集

創建哈希集后，您需要在其中添加兩個哈希。第一種方法是使用選項面板上的“將哈希添加到哈希集”按鈕。每個散列都應在其自己的行上，并且可以選擇在其后跟一個逗號，然后注釋與該散列對應的文件。在這里，我們創建與貓圖像相對應的“無變化”哈希集：

向哈希集添加條目的另一種方法是通過上下文菜單。在結果查看器中突出顯示要添加到哈希集中的文件，然后單擊鼠標右鍵，然后選擇“將文件添加到哈希集中”，最后選擇要將其添加到該哈希集中的文件。請注意，這不會自動將文件添加到當前案例的哈希集命中列表中-您必須重新運行“哈希查找”攝取模塊才能看到該文件。

使用哈希集

有一個攝取模塊，將對文件進行哈希處理并在哈希集中查找它們。它將標記顯著哈希集中的文件，這些結果將顯示在Tree Viewer的“結果”樹中。其他攝取模塊能夠使用文件的已知狀態來決定是否應忽略該文件或對其進行處理。您還可以在“ 文件搜索”窗口中查看結果。有一個選項可以選擇“已知狀態”。在這里，您可以進行搜索以查看所有“重要”文件。從這里，您還可以選擇忽略NSRL中找到的所有“已知”文件。列出文件后，您還可以在列中查看文件的狀態。

NIST NSRL

Autopsy可以使用NIST NSRL來檢測“已知文件”。NSRL包含“已知文件”的哈希值，取決于您的觀點和調查類型，該哈希值可能是好是壞。例如，對于您的調查而言，某種財務軟件的存在可能很有趣，并且該軟件可能位于NSRL中。因此，尸檢會將在NSRL中找到的文件視為“已知”文件，而不指定好壞。接收模塊可以選擇忽略在NSRL中找到的文件。

要使用NSRL，您可以從http://sourceforge.net/projects/autopsy/files/NSRL下載預制索引。下載NSRL-XYZm-autopsy.zip（其中“ XYZ”是版本號。在撰寫本文時為247）并解壓縮文件。使用“工具”，“選項”菜單，然后選擇“哈希集”選項卡。單擊“導入數據庫”，然后瀏覽到解壓縮的NSRL文件的位置。如果需要，您可以更改哈希集名稱。選擇所需的數據庫類型，如果需要，選擇“為每個匹配發送收件箱收件箱消息”，然后單擊“確定”。

使用模塊

攝取設置

配置哈希集后，用戶可以選擇在提取過程中使用的哈希集。

看到結果

結果在樹中顯示為“哈希集命中數”，按哈希集名稱分組。如果哈希集匹配具有關聯的注釋，您將在結果查看器的“注釋”列中看到它們以及文件哈希。

您也可以在內容查看器的“注釋”選項卡上查看注釋。