Autopsy中文使用教程(用戶版)加密檢測模塊
總覽
加密檢測模塊搜索可以使用常規熵計算和針對某些文件類型的更專業測試來加密的文件。
運行模塊
可以在運行時配置模塊的設置。這些設置僅影響基于熵的測試。
可以將最大熵設置為更高或更低,具體取決于產生多少錯誤命中。還有一個選項僅對大小為512的倍數的文件運行測試,這對于查找某些加密算法很有用。
該模塊尋找以下類型的加密:
- 熵等于或大于模塊設置中的閾值且符合文件大小限制的任何文件
- 受密碼保護的Office文件,PDF文件和Access數據庫文件
- BitLocker卷
- SQLCipher(使用模塊設置中的最小熵)
- VeraCrypt(使用模塊設置中的最小熵)
查看結果
通過測試的文件顯示在結果樹中的“檢測到加密”或“懷疑加密”下。通常,如果使用的測試涉及尋找特定的標頭/文件結構,則結果將為“檢測到加密”,并且加密類型將顯示在“注釋”字段中。如果測試基于文件的熵,則結果將為“ Encryption Suspected”,并且所計算的熵將顯示在“注釋”字段中。
每個匹配還會生成一個收件箱消息。可通過屏幕頂部附近的警告三角形查看這些內容。
選擇加密檢測命中之一將顯示計算出的文件熵。
推薦文章: