Autopsy中文使用教程(用戶版)發現
總覽
發現工具顯示與用戶配置的一組過濾器匹配的圖像,視頻或文檔。您可以選擇如何對結果進行分組和排序,以便首先查看最相關的數據。
先決條件
我們建議在啟動發現之前運行所有攝取模塊,但是如果時間是一個因素,則以下是最重要的模塊。如果在不運行文件類型識別模塊,哈希查找模塊和EXIF解析器模塊的情況下打開發現,則會看到警告。
所需的攝取模塊:
可選的攝取模塊:
- 中央存儲庫模塊 -需要使用過去事件過濾器
- EXIF解析器模塊 -需要使用可能由用戶創建的
- 哈希查找模塊 -需要使用哈希集篩選器和去重復文件
- 有趣的文件標識符模塊 -需要使用有趣的項目過濾器
- 對象檢測 -需要使用對象檢測過濾器
- 關鍵字搜索模塊 -改進文檔摘要
- 嵌入式文件提取模塊 -允許顯示文檔中包含的圖像
運行發現
要啟動發現,請單擊“驗尸”用戶界面頂部附近的“發現”圖標,或轉到“工具”,“發現”。設置發現時需要執行三個步驟,這些步驟從面板的頂部到底部:
設置完所有內容后,請使用右下方的“顯示”按鈕來顯示結果。
文件類型
第一步是選擇是否要顯示圖像,視頻或文檔。文件類型由文件的MIME類型確定,這就是為什么必須運行文件類型識別模塊才能查看任何結果的原因。在文件類型之間切換會重置過濾器。
篩選
第二步是選擇和配置過濾器。可用的過濾器將根據文件類型而有所不同。對于大多數過濾器,您可以使用左側的復選框啟用它們,然后選擇您的選項。可以使用CTRL +左鍵單擊來選擇多個選項。文件必須通過所有啟用的過濾器才能顯示。
文件大小過濾器
文件大小過濾器使您可以限制結果的大小。不同文件類型的選項有所不同-較小的圖像可能在16 KB以下,而較小的視頻則在500 KB以下。
數據源過濾器
數據源過濾器使您可以限制案例中要包括在結果中的數據源。
過去事件過濾器
過去發生的過濾器使用中央存儲庫和已知的哈希集來限制必須在結果中包括文件的通用/罕見的方式。默認情況下,“已知文件”選項是禁用的,這意味著將不顯示任何與NSRL或其他列入白名單的哈希集匹配的文件。
其余選項的計數基于中央存儲庫中包含此文件副本的數據源的數量(基于哈希)。如果文件在當前情況下僅出現在一個數據源中,則它將匹配“ Unique(1)”。如果僅在其他幾個數據源中看到它,則它將匹配“ Rare(2-10)”。請注意,文件在每個數據源中出現多少次無關緊要-一個文件在一個數據源中可以有20個副本,并且仍然是“唯一的”。
可能是用戶創建的
可能由用戶創建的過濾器將結果限制為懷疑是原始圖像或視頻的文件。
這意味著該文件必須具有與之關聯的“懷疑用戶內容”結果。這些主要來自Exif解析器模塊。
哈希集過濾器
哈希集過濾器將結果限制為在所選哈希集中找到的文件。僅列出在當前情況下具有匹配項的著名哈希集。有關創建和使用哈希集的更多信息,請參見哈希查找模塊頁面。
有趣的項目過濾器
興趣項目過濾器將結果限制為在所選興趣項目規則集中找到的文件。僅列出在當前情況下具有結果的有趣文件規則集。有關創建和使用有趣項規則集的更多信息,請參見“ 有趣文件標識符模塊”頁面。
對象檢測過濾器
“檢測到的對象”過濾器將結果限制為與所選分類器匹配的文件。僅列出在當前情況下具有結果的分類器。請注意,當前內置的“ 對象檢測”攝取模塊僅適用于圖像,因此通常不應將此過濾器與視頻一起使用。有關設置分類器的更多信息,請參見“ 對象檢測”頁面。
父文件夾過濾器
父文件夾過濾器會限制文件可以位于的路徑。此過濾器與其他過濾器的工作方式不同,因為不必選擇各個選項-將應用已輸入的每個規則。
您可以輸入應包含的路徑和應忽略的路徑。然后為兩者指定輸入的路徑字符串是完整路徑還是子字符串。要進行完整路徑匹配,您需要添加前斜線和后斜線。全路徑匹配也區分大小寫。
如上所示,默認選項將排除路徑中具有“ Windows”文件夾或“ Program Files”文件夾的任何文件。它會排除“ /Windows/System32/image1.jpg”之類的文件,但不會排除“ / My Pictures / Bay Windows / image2.jpg”之類的文件,因為“ Windows”周圍的斜線會強制其與確切的文件夾名稱匹配。
這是另一個例子。創建此規則時選擇了“完整”和“包含”。
這與文件“ / LogicalFileSet2 /文件發現/bird1.tif”匹配,但與“文件發現”下的子文件夾中的任何圖像都不匹配。
當過濾器中有多個路徑選項時,將按以下方式應用它們:
- 文件路徑必須匹配每個“排除”規則才能通過
- 如果存在任何“包含”規則,則文件路徑必須至少匹配一個“包含”規則才能通過
例如,這使您可以制定規則以同時包含“我的文檔”和“我的圖片”文件夾。
分組和排序
最終選項是關于如何對結果進行分組和排序的選項。
第一個選項可讓您選擇結果的頂級分組,第二個選項可讓您選擇如何對結果進行排序。這些組將出現在結果窗口的左列中。請注意,某些分組選項可能并不總是出現-例如,僅在啟用中央存儲庫的情況下,才按過去發生的分組進行分組;僅在當前情況下存在散列集命中的情況下,才按散列集分組。下面的示例顯示了使用默認選項創建的組(按文件大小分組,按組名稱訂購組):
對于文件大小和過去發生的情況,按組名排序是基于該組的自然排序(從最大到最小或最罕見到最常見)。對于其他組,將按字母順序。按大小排序的組將根據每個組包含的文件數量從大到小對它們進行排序。例如,在這里我們按照有趣的項目集進行分組,并按其大小對分組進行排序。
有趣的項目過濾器未啟用,因此大多數圖像最終都位于“無”組中,這意味著它們沒有與之相關的有趣文件結果。列表中的最后一個組包含一個與兩個有趣的項目規則集都匹配的文件。
最后一個分組和排序選項是選擇如何對組內的結果進行排序。從左列中選擇一個組后,這是結果窗口右側結果的順序。請注意,由于合并結果與該面板中相同的哈希,因此按文件名,路徑或數據源排序可能會有所不同。有關更多信息,請參見下面的“重復數據刪除”部分。
查看結果
總覽
選擇選項并單擊“搜索”后,您將看到一個新窗口,左側有組列表。選擇這些組之一將在右側顯示該組的結果。選擇一個結果將導致面板上升,顯示有關該結果的每個實例的更多詳細信息。您可以使用分隔線右側的大箭頭手動升高和降低此面板。
如果結果是圖像,則在右面板的頂部區域中將為每個圖像顯示縮略圖。
如果您的結果是視頻,則每個結果將顯示視頻中的四個縮略圖。
如果結果是文檔,您將看到文檔文本的一部分。如果嵌入式文件提取模塊在文檔中找到任何圖像,則會在右側顯示最大縮略圖的縮略圖,以及從文檔中提取了多少圖像的計數。
從右面板的頂部選擇結果時,您將在縮略圖下方的“實例”面板中看到相應文件的路徑。一個結果可能有多個文件實例-請參閱下面的“重復數據刪除”部分。您可以在實例面板中的文件上單擊鼠標右鍵,以使用常規Result Viewer中可用的大多數選項。
面板的底部與標準Content Viewer相同,并顯示與在面板中間選擇的文件實例相對應的數據。
重復數據刪除
假設哈希查找模塊模塊已運行,則結果組中具有相同哈希的所有文件將在單個實例下合并在一起。實例之一的文件路徑將與注釋一起顯示,例如“和另外1個”,指示找到了多少重復項。選擇文件將在面板的中間部分顯示每個實例。
單擊特定實例將在底部的內容查看器區域中加載該文件的數據。
請注意,不同組中的文件不會合并在一起,也不會出現在彼此的實例列表下。例如,如果您選擇按父文件夾分組,并且文件的兩個實例具有相同的哈希值但在不同的文件夾中,則每個實例將在其父文件夾下出現一次。按文件大小分組(默認設置)將始終合并同一文件的每個實例。
狀態圖示
縮略圖的右下角可能會顯示許多圖標,以幫助指出明顯的效果。將鼠標懸停在圖標上將顯示一條消息,說明出現該圖標的原因。在下圖中,顯示黃色圖標,因為該文件與一個有趣的項目集相關聯。
大多數圖標與正常Result Viewer的“ S”列中顯示的內容匹配。
分頁
如果您選擇的組有很多結果,則結果將分為幾頁。您可以使用向左和向右箭頭在頁面之間移動或輸入您要轉到的頁面編號。您可以使用右上角的下拉框調整每頁的結果數。
推薦文章: