總覽

中央存儲庫允許用戶跨案例和跨同一案例的數據源查找匹配的工件。它是一個提取模塊的組合，該模塊提取，存儲屬性并將其與顯著屬性的列表進行比較，存儲這些屬性的數據庫，以及“尸檢”中的一個附加面板以顯示每個屬性的其他實例。中央存儲庫數據庫可以是SQLite或PostgreSQL。

以下是中央存儲庫的一些用例：

• 查找屬性的其他實例
  • 如果導航到文件或“尸檢”工件（例如“ Web歷史記錄”項），則右下角將顯示一個內容查看器，它將通過中央存儲庫中存儲的數據向您顯示此屬性的其他實例。
• 發生以前的重要屬性時發出警報
  • 您可以使用中央存儲庫來記錄哪些屬性與證據（或值得注意）的文件和工件相關聯。將這些屬性標記為顯著后，在以后的任何情況下再次出現時，它們將被添加到樹的“有趣的項目”部分。
• 存儲哈希集
  • 您可以在哈希存儲模塊中創建哈希集并將其導入到中央存儲庫中，而不必使用本地副本。這些哈希集在功能上等效于本地哈希集，但可以在多個分析人員之間共享（使用PostgreSQL中央存儲庫時）。

術語和概念

• 中央存儲庫 -尸檢功能包含中央存儲庫數據庫和中央存儲庫提取模塊。還負責向用戶顯示相關屬性
• 中央存儲庫數據庫 -包含所有數據的SQLite或PostgreSQL數據庫
• 中央存儲庫攝取模塊 -攝取模塊，負責將新屬性添加到數據庫并將這些屬性與現有的顯著屬性進行比較
• 屬性 -正在存儲/關聯的數據。這些可以是文件路徑/ MD5哈希，電子郵件地址，電話號碼等。

建立

中央存儲庫設置位于“中央存儲庫”選項卡上的主選項面板（“工具”->“選項”）上。

數據庫配置

中央存儲庫數據庫有兩種類型：

• SQLite-這種類型的數據庫存儲在文件中。僅當單個客戶端將訪問數據庫時才應使用它。您不能在多用戶案例中使用此選項。
• PostgreSQL-這種類型的數據庫存儲在用戶主機或遠程服務器上運行的服務器上。如果多個用戶將使用同一數據庫，則必須使用此選項。

自動數據庫配置

從Autopsy 4.15開始，當您加載Autopsy且未啟用中央存儲庫時，系統將詢問您是否要啟用它。這樣做將在“驗尸”用戶文件夾中創建一個SQLite數據庫（在Windows上將在AppData中）。系統只會提示您一次。無論選擇哪個選項，都可以稍后更改中央存儲庫設置，如下所述。

由于SQLite數據庫不能用于多用戶案例，因此您還可以在啟用多用戶案例時選擇切換到PostgreSQL數據庫。如果當前正在使用SQLite數據庫，則在啟用多用戶案例時，系統將詢問您是否要切換到同一服務器上的PostgreSQL數據庫。請注意，SQLite數據庫的內容不會被復制。

手動數據庫配置

在中央存儲庫選項面板上，選中“使用中央存儲庫”選項，然后單擊“配置”按鈕來設置數據庫。這里有三個選項：

• SQLite-此選項將數據庫存儲在文件中。僅當單個客戶端將訪問數據庫時才應使用它。
• 使用多用戶設置的PostgreSQL-此選項使用已為多用戶案例配置的同一PostgreSQL服務器上的中央存儲庫。如果未啟用多用戶案例，則無法選擇此選項。如果多個用戶將使用同一數據庫，則這是選項之一。
• 自定義PostgreSQL-此選項使用在用戶主機或遠程服務器上運行的數據庫服務器，該服務器在中央存儲庫設置中指定。如果多個用戶將使用同一數據庫，則這是選項之一。

配置數據庫后，將啟用主面板上的下面兩個按鈕，下面將對此進行說明。

使用多用戶設置設置PostgreSQL部署

有關配置多用戶環境的說明，請參閱“ 設置多用戶群集”頁面。完成后，您可以選擇“使用多用戶設置的PostgreSQL”選項在該PostgreSQL服務器上創建/使用中央存儲庫。

設置自定義PostgreSQL部署

如果需要，請參見“ 安裝和配置PostgreSQL”頁面以獲取設置PostgreSQL服務器的幫助。

對于PostgreSQL，所有值都是必需的，但是為了方便起見，提供了一些默認值。

• 主機名/ IP是PostgreSQL服務器的主機名或IP。
• 端口是PostgreSQL服務器正在監聽的端口。默認值為5432。
• 用戶名是可以創建和修改數據庫的PostgreSQL用戶
• 用戶密碼是用戶的密碼。

如果數據庫不存在，將提示您創建它。

設置SQLite部署

在“數據庫類型”中選擇“ SQLite”以設置SQLite數據庫。如果多個客戶端將訪問中央存儲庫，則不應使用SQLite數據庫。

輸入或瀏覽到數據庫的文件夾。如果該文件夾中不存在數據庫文件，將提示您創建它。

管理關聯屬性

中央存儲庫提取模塊可以將不同類型的屬性保存到數據庫。默認情況下，會記錄所有屬性，但是可以通過“管理關聯屬性”按鈕在選項面板上更改此設置。請注意，這些設置已保存到數據庫，因此在多用戶設置中，任何更改都會影響所有用戶。

屬性類型的描述：

• 檔案
  • 文件基于MD5哈希以及文件路徑和名稱進行關聯。該哈希查找模塊必須啟用。
• 域
  • 域是從各種Web工件中提取的，這些工件主要來自“ 最近活動模塊”。
• 電子郵件地址
  • 電子郵件地址是由諸如電子郵件解析器模塊之類的模塊創建的。
• 電話號碼
  • 當前僅從來自Android分析器模塊的通話記錄，聯系人列表和消息中提取電話號碼。
• USB設備
  • USB設備屬性來自“ 近期活動模塊”中的注冊表解析。
• 無線網絡
  • 無線網絡與SSID相關，并且來自“ 近期活動模塊”中的注冊表解析。
• MAC地址
  • MAC地址屬性當前僅由自定義的尸檢模塊創建。
• IMEI號碼
  • IMEIs屬性當前僅由自定義的驗尸模塊創建。
• IMSI編號
  • IMSI屬性當前僅由自定義的驗尸模塊創建。
• ICCID號
  • ICCID屬性當前僅由自定義的驗尸模塊創建。
• 信用卡
  • 憑證卡屬性由關鍵字搜索模塊創建。
• 應用專用帳戶（Facebook，Twitter等）
  • 這些屬性主要來自Android Analyzer模塊。

管理組織

組織存儲在中央存儲庫中，并包含給定組織的聯系信息。組織用于保存在中央存儲庫中的哈希集，也可以與尸檢案例關聯。

列表中始終存在一個默認的組織“未指定”。可以通過相應的按鈕創建，編輯和刪除新組織。請注意，案例或哈希集當前正在使用的任何組織都無法刪除。除組織名稱外的所有字段都是可選的。

管理案件

顯示中央存儲庫數據庫中所有案例的列表以及每個案例的詳細信息。

使用中央存儲庫

中央存儲庫模塊

中央存儲庫提取模塊負責將屬性添加到數據庫，并將每個屬性與值得注意的屬性列表進行比較。最好運行所有攝取模塊以充分利用關聯引擎。例如，如果未運行哈希查找，則中央存儲庫模塊將不會將任何文件放入數據庫。如果中央存儲庫模塊未在特定情況下運行，但啟用了中央存儲庫，則功能仍然有限。Content Viewer仍將顯示運行中央存儲庫的其他案例/數據源的匹配屬性。

中央存儲庫提取模塊有三種設置：

• 將項目保存到中央存儲庫 -僅在極少數情況下，您不想將其從當前數據源添加到中央存儲庫，但仍希望標記過去發生的情況，才應取消選擇此項。
• 標記先前標記為值得注意的項目 -啟用此選項后，如果找到與先前標記的屬性匹配的屬性，則會創建有趣的項目/文件工件。有關詳細信息，請參見下一部分標記文件和工件。
• 標記以前查看過的設備 -啟用此選項后，如果發現中央存儲庫中已經存在任何與設備相關的屬性（USB，MAC地址，IMSI，IMEI，ICCID），則會創建一個有趣的項目工件。被標記。

標記文件和工件

用“值得注意的”標簽標記文件或工件也會將其在中央存儲庫中的關聯屬性也更改為值得注意的。默認情況下，將有一個名為“值得注意的項目”的標簽可用于此目的。有關創建具有顯著狀態的其他標簽的更多信息，請參見“ 標簽”頁面。將來的任何數據源提取（啟用了此模塊）都將以與“已知錯誤”哈希集類似的方式使用那些顯著的屬性，從而導致在當前打開的情況下，將來自該提取的匹配文件和工件添加到“有趣的項目”列表中。

如果將標簽意外添加到文件或工件，則可以通過上下文菜單將其刪除。這將刪除其屬性在中央存儲庫中的顯著狀態。

如果要防止在特定情況下創建“有趣的項目”，可以通過運行時提取屬性禁用標記。請注意，這僅會禁用“有趣項”結果-所有屬性仍將添加到中央存儲庫。

查看結果

啟用中央存儲庫和運行中央存儲庫攝取模塊的結果可以在兩個地方看到：

• 每個文件或工件的內容查看器將顯示來自其他案例/數據源的所有匹配屬性
• 結果樹的“有趣的文件”節點將包含與先前標記為值得注意的屬性相匹配的任何文件或結果

內容查看器

在內容瀏覽器面板是顯示以前的屬性實例的位置。在未啟用中央存儲庫的情況下，此“其他事件”面板將顯示哈希值與當前案例內所選文件匹配的文件。啟用中央存儲庫使該面板還可以顯示存儲在數據庫中的匹配屬性，并向該行添加一些功能。請注意，不必在當前數據源上運行中央存儲庫提取模塊即可查看中央存儲庫中的相關屬性。如果所選文件或工件通過一種受支持的關聯類型關聯到數據庫中的一個或多個屬性，則將顯示關聯的屬性。注意：Content Viewer將顯示數據庫中所有可用的關聯屬性。它會忽略用戶的

其他情況按案例分組，然后按數據源分組。選擇其中一個結果會在右欄中顯示有關該結果的信息。如果先前已將文件或工件標記為顯著，則在“已知狀態”旁邊將以紅色顯示“顯著”。

用戶可以單擊任何列標題以按該列中的值進行排序。

如果用戶在第三列中選擇一個條目然后單擊鼠標右鍵，將顯示一個菜單。此菜單有多個選項。

1. 將所有其他情況導出到CSV
2. 顯示案例詳細信息
3. 顯示頻率

將所有其他情況導出到CSV

此選項會將Content Viewer表中所有其他出現的內容保存到CSV文件。默認情況下，CSV文件保存在當前打開的“驗尸”案例中的“導出”目錄中，但用戶可以自由選擇其他位置。

顯示案例詳細信息

該選項將打開一個對話框，顯示所選案例的所有相關詳細信息。詳細信息將包括：

• 案例UUID
• 案件名稱
• 案例創建日期
• 案例審查員聯系信息
• 案件審查員的筆記

這些詳細信息將由選定案例的審查員在創建案例時輸入，或者稍后通過訪問案例->案例屬性菜單輸入。

顯示頻率

這顯示了所選文件的普遍程度。該值是具有選定屬性的案例/數據源元組的百分比。

有趣的項目

在未結案件的“結果”樹中，有一個名為“有趣的項目”的條目。啟用此模塊后，所有啟用的“可關聯屬性”都將導致在攝取過程中將匹配的文件和工件添加到此“有趣的項目”樹中。

例如，假設啟用了文件可關聯屬性，并且攝取當前正在處理文件“ badfile.exe”，并且該文件的MD5哈希已作為顯著文件屬性存在于數據庫中。在這種情況下，將在當前正在攝取的數據源中為“ badfile.exe”的當前實例在“有趣的項目”樹中添加一個條目。

每個啟用的可關聯屬性都會發生相同類型的事情。

如果是電話號碼相關類型，則“有趣的項目”樹將為每個電話號碼啟動一個子樹。然后，子樹將包含該著名電話號碼的每個實例。