它有什么作用

擴展名不匹配檢測器模塊使用文件類型標識的結果，并標記具有傳統上與文件的檢測到的類型不相關聯的擴展名的文件。它忽略“已知”（NSRL）文件。您可以在“工具”，“選項”，“文件擴展名不匹配”中自定義MIME類型和每種MIME類型的文件擴展名。

這樣可以檢測到有人可能試圖隱藏的文件。

組態

可以在“工具”，“選項”，“文件擴展名不匹配”對話框中添加和刪除MIME類型，以及添加和刪除特定MIME類型的擴展名。

如果您想將所做的更改貢獻回社區，則需要通過以下任一方式上載更新的APPDATA％\ autopsy \ dev \ config \ mismatch_config.xml文件：

• 創建Github Autopsy存儲庫的分支，將新文件復制到src \ org \ sleuthkit \ autopsy \ fileextmismatch文件夾中，然后提交拉取請求
• 將整個mismatch_config.xml文件附加到github問題。

使用模塊

請注意，使用此模塊會產生很多誤報。您可以將自己的規則添加到“驗尸”中，以減少不必要的點擊。

攝取設置

在攝取設置中，用戶可以選擇在所有文件，除文本文件以外的所有文件上運行，還是僅在多媒體文件或可執行文件上運行。另外，用戶可以選擇跳過所有不帶擴展名的文件，并跳過由哈希查找模塊標識的任何已知文件（如果已啟用）。

看到結果

結果顯示在“檢測到擴展不匹配”下的結果樹中。