有趣的文件標識符模塊

Autopsy中文使用教程（用戶版） /

總覽

有趣的文件模塊使您可以自動標記與一組規則匹配的文件和目錄。如果您始終需要檢查具有給定名稱或路徑的文件是否在數據源中，或者您始終對某種類型的文件感興趣，這將很有用。

該模塊允許您制定規則集，在處理每個文件時將針對每個文件運行這些規則。如果文件符合任何規則，您將在Tree Viewer中看到該文件的條目。您可以與其他用戶共享規則，并將其他人創建的集導入到驗尸副本中。

術語

一個規則是一組必須是真實的有關文件為它匹配規則條件。規則中的所有條件都必須為真。例如，如果規則的條件為“文件大小> 1 MB”和“文件擴展名= .txt”，則只有同時符合這兩個條件的文件才被視為匹配。
一個規則集是規則的集合。如果文件與規則集中的任何規則匹配，它將被標記為與此規則集匹配。可以在攝取時啟用和禁用規則集。

組態

要創建和編輯規則集，請轉到“工具”，“選項”，然后選擇“有趣的文件”選項卡。左側區域將顯示當前所有可用規則集的列表。這將包括“尸檢”隨附的正式規則集以及您創建的任何規則集。選擇一個規則集將在面板右側顯示其描述和有關每個規則的信息。

面板左側底部的按鈕控制規則集。

新建集 -允許您創建新規則集（規則將在以后添加）。您將看到一個新窗口，詢問新規則集的名稱，可選描述以及是否應忽略已知文件（即，如果文件位于NSRL中，則它不會顯示在匹配列表中即使它滿足集合中規則之一的條件）。
編輯集 -出現與“新集”相同的窗口，并允許您更改任何字段。
刪除集 -刪除選定的規則集
復制集 -復制所選規則集。它將彈出與“ New Set”相同的窗口。您必須更改規則集名稱才能保存副本。
導入集 -導入以前導出的規則集。導入后，您將不需要原始副本。
導出集 -以可以與其他驗尸用戶共享的格式導出所選規則集。

請注意，不能刪除或編輯預定義的規則集。如果您認為自己有對社區有用的補充，請參閱“ 更新官方感興趣的文件集”頁面，以獲取有關提交更新的說明。

選擇規則集將顯示其描述，是否忽略已知文件以及該規則集中包含的規則。選擇一個規則將在“規則詳細信息”部分中顯示該規則的條件。

規則列表下的按鈕允許您創建新規則以及編輯或刪除現有規則。選擇“新規則”將彈出一個新窗口來創建規則。

第一行允許您選擇只匹配文件，只匹配目錄，還是兩者都匹配。如果選擇目錄或同時選擇目錄，則某些條件類型將不可用，因為它們僅適用于文件。

每個規則必須至少具有一個條件。要創建條件，請選中要啟用條件左側的框。以下是每個條件的說明，后面還有一些完整的示例。

名稱 -輸入完整文件名或一個或多個擴展名，然后選擇這是完全匹配還是子字符串/正則表達式匹配。如果啟用了子字符串/正則表達式匹配，它將自動在文本的開頭和結尾添加通配符。如果僅匹配目錄，則將匹配目錄名稱。如果您使用逗號分隔的擴展名列表，請確保禁用了regex復選框-選中該復選框時，所有內容將被解釋為一個regex。下表顯示了不同組合可用于哪些用途的一些示例。

類型	子串/正則表達式	文本	描述	樣品搭配
全名	假	test.txt	將匹配名為“ test.txt”的文件	text.txt
全名	真正	炸彈	將匹配名稱為“炸彈”的文件的任何位置	管道炸彈
全名	真正	病毒* .exe	在文件名的任何位置都將匹配帶有“ virus”和“ .exe”的文件	bad_virus.exe
僅擴展	假	壓縮	將匹配.zip文件	myArchive.zip
僅擴展	假	zip，rar，7z	將匹配.zip，.rar和.7z文件	anotherArchive.rar
僅擴展	真正	J.P	將匹配.jpg，.jpeg文件以及任何其他擴展名為“ jp”的文件	myImage.jpg

路徑子字符串 -輸入文件夾名稱，該名稱必須是文件路徑的一部分才能匹配。如果只想指定單詞出現在路徑中的某處，請使用regex選項。

正則表達式	文本	描述	樣品搭配
假	文件資料	匹配路徑中具有名為“ Documents”的文件夾的任何文件	/folder1/Documents/fileA.doc
真正	炸彈	匹配路徑中帶有“炸彈”的任何文件	/ folder1 /炸彈制作/file2.doc
真正	用戶/.*/下載	匹配路徑中帶有“用戶”和“下載”的任何文件	C：/用戶/用戶1 /下載/myFile.txt