Autopsy中文使用教程(用戶版)圖片庫模塊
總覽
本文檔概述了尸檢的圖庫功能的使用。此功能由DHS S&T資助,以幫助向執法部門提供免費和開源的數字取證工具。
圖像庫功能是專門為兒童剝削案例而設計的,但可用于涉及圖像和視頻的多種其他調查類型。除了驗尸和其他工具當前提供的傳統縮略圖之外,它還提供以下功能。
- 按文件夾(和其他屬性)對圖像進行分組,以幫助檢查員將較大的圖像集合分成較小的組,并幫助將重點放在具有感興趣圖像的區域上。
- 允許檢查員將圖像添加到案子后立即開始查看圖像。隨著對圖像進行哈希處理,它們會在界面中更新。您無需等待,直到整個圖像被攝取。
本文檔假定您對尸檢有基本的了解。
快速開始
- 圖像庫工具可以配置為在提取運行時或在提取后立即全部收集有關圖像/視頻的數據。要更改此設置,請轉到“工具”,“選項”,“圖像/視頻庫”。該設置是按案例保存的,但是在攝取期間無法更改。有關更多詳細信息,請參見“選項”窗口。
- 正常創建案例并添加磁盤映像(或文件文件夾)作為數據源。確保已啟用具有NSRL和已知錯誤哈希集的哈希查找模塊,已啟用EXIF模塊以及已啟用文件類型模塊。
- 單擊“查看圖像/視頻”按鈕,或在“工具”菜單中選擇“查看圖像/視頻”。這將在新窗口中打開“驗尸圖像/視頻分析”工具。
- 當背景攝取模塊分析圖像時,將顯示圖像組。您可以在以后重新排序和重新組合,但是在進行提取時,需要按文件夾對它進行分組。
- 審核每個組時,將根據排序標準顯示下一個優先級最高的組(默認值是哈希集命中的密度)。
- 來自哈希集的圖片在其周圍將具有虛線邊框。
- 您可以使用組頂部的菜單欄對整個組進行分類。
- 您可以右鍵單擊圖像以對單個圖像進行分類或標記。
- 具有可自定義標簽的標簽文件。工具中已經內置了“后續”標簽,并已集成到過濾器選項中。除分類外,還可以應用標簽。一幅圖像只能有一個分類,但是可以有很多標簽來支持您的工作流程。
- 通過標準的驗尸報告生成功能,創建一個包含每個標記和/或分類文件詳細信息的報告。
用例詳細信息
除了上一節中介紹的基本思想之外,這里還有一些有關該工具中設計的用例的提示。
- 當您查看組時,將根據哈希命中的密度(默認)按順序顯示它們。如果找到一個包含許多有趣文件的組,并且想要查看父文件夾或附近文件夾中的內容,請使用左側的導航樹。
- 您隨時可以使用左側的列表查看具有最高哈希集匹配項的組。
- 要查看其中包含最多圖像的文件夾,請按組大小(降序)對組進行排序。
- 具有哈希集匹配項的文件不會自動標記或分類。您需要在檢查它們之后執行此操作。最簡單的方法是等到提取結束后再按哈希集進行分組。然后,您可以使用組標題復查每個組并一次對整個組進行分類。
分類目錄
該工具是專門為兒童剝削而設計的,并且具有分類的概念。將來,我們將對此進行更改,以使用自定義類別名稱更加靈活,但是目前很難使用Project Vic(和其他國際組織)使用的名稱進行編碼。我們為每個類別分配了顏色,以突出顯示每個圖像。
| 名稱 | 描述 | 顏色 |
|---|---|---|
| CAT-0 | 未分類 |  灰色 |
| CAT-1 | 虐待兒童材料 |  紅 |
| CAT-2 | 兒童剝削/年齡段困難 |  橙子 |
| 3類 | CGI /動畫 |  黃色 |
| CAT-4 | 比較圖像 |  濃湯 |
| 5類 | 不相關的 |  綠色 |
GUI控件
您可以使用鼠標進行整個調查,但是許多檢查員喜歡使用鍵盤快捷鍵來快速處理大量圖像。
鍵盤快捷鍵
| 捷徑 | 行動 |
|---|---|
| 數字0-5 | 將相應編號的類別分配給所選文件 |
| alt + 0-5 | 將相應編號的類別分配給焦點小組中的所有文件 |
| 箭 | 按方向選擇下一個文件 |
| 向上/向下翻頁 | 滾動文件列表 |
其他鼠標控件
| 鼠標手勢 | 行動 |
|---|---|
| Ctrl +左鍵 | 切換選擇的單擊文件,選擇多個文件 |
| 右鍵單擊文件 | 彈出上下文菜單,允許按文件操作(標記,分類,提取到本地文件,在外部查看器中查看,在尸檢內容查看器中查看,將文件添加到HashDB) |
| 右鍵單擊組的空白區域 | 彈出上下文菜單,允許按組操作(標記,分類,提取到本地文件,將文件添加到HashDB) |
| 雙擊文件 | 在幻燈片放映模式下打開選定的文件 |
用戶界面詳細信息
組顯示區
中央顯示區域包含當前組中的文件列表。該組中的圖像可以縮略圖模式或幻燈片模式顯示。幻燈片放映模式可提供更大的圖像并播放視頻文件。組標題的右側是一個用于更改組查看模式的開關(平鋪與幻燈片放映)。
圖像/視頻圖塊
每個文件都通過一個小圖塊在主顯示區域中表示。磁貼顯示:
- 圖片/視頻的縮略圖
- 文件名
- 其他重要細節的指標:
| 圖片 | 描述 | 含義 |
|---|---|---|
| 純色邊框 | 文件的分配類別。 | |
 |
紫色虛線邊框 | 文件具有已知的無效哈希集匹配,但尚未歸類。 |
 |
圖釘 | 文件具有已知的無效哈希集命中 |
 |
文件隔板 | 視頻文件 |
 |
一個紅旗 | 文件已被“標記”為跟進標記 |
幻燈片放映模式
在幻燈片放映模式下,一個組一次只顯示一個文件,且大小增加。圖像右上角的每個文件標簽/類別控件,以及大的左右按鈕允許循環瀏覽組中的文件。如果活動文件是尸檢支持的視頻格式,則視頻播放控件將顯示在視頻下方。
表/目錄樹
左上角帶有標簽為“目錄”和“哈希命中”的選項卡的部分提供了該案例中文件組的概述。它會更改以反映當前的分組方式。通過設置:對于分層分組(路徑),它將顯示一棵文件夾樹(包含圖像/視頻(分組)的文件夾用一個獨特的圖標標記),對于其他分組,它將僅顯示一個平面列表。
每個組均在名稱后顯示以攝取方式命中配置的哈希數據庫的文件數(哈希命中)以及圖像/視頻文件的總數(比率)(哈希命中/總數)。通過在樹/列表中選擇組,您可以在主顯示區域中直接導航到它們。如果選擇了“哈希命中”選項卡,則僅顯示包含具有哈希命中的文件的組。
傾聽變化
圖像庫會維護自己的數據庫,需要在尸檢分析文件時進行更新。例如,它需要知道何時對文件進行哈希處理或提取EXIF數據。默認情況下,圖庫在單用戶情況下始終會監聽這些更改,并保持其數據庫為最新。如果這會影響性能,則可以在“選項”面板中禁用此功能。
您可以關閉當前案例的監聽,也可以更改未來案例的默認行為。
多用戶案例
如果案例是在多用戶環境中創建的,則使圖庫數據庫保持同步變得更加困難,因為許多其他檢查者可能正在分析該案例中的數據。因此,在多用戶情況下,Image Gallery具有與單用戶情況不同的更新行為。值得注意的是:
- 如果您的系統正在數據源上運行提取,那么您將繼續獲得實時更新,就像在單用戶情況下一樣。因此,一旦對文件文件夾進行哈希處理并提取了EXIF數據,便可以查看它。
- 如果集群中的另一個系統正在數據源上運行提取,則在提取完成之前,您可能看不到其結果。您將不會獲得實時更新,而是只有在關閉Image Gallery并再次打開它之后才能獲取更新。
- 每次打開Image Gallery時,它將檢查本地數據庫以查看其是否與案例數據庫同步。如果不是,它將要求您重建它。這是因為其他系統可能已將其他數據添加到案例數據庫,并且您的Image Gallery數據庫不再準確。
您還可以選擇查看對您來說是新的還是對每個人來說都是新的組(或文件夾)。當您按“顯示下一個看不見的組”時,默認行為是向您顯示尚未看到的最高優先級組。但是,您也可以選擇查看其他人沒有看到的組。可以使用“顯示下一個看不見的組”按鈕旁邊的復選框進行選擇。
推薦文章: