分流

分流

總覽

有時，您需要對一個或多個系統做出快速決策，而沒有時間或資源來制作完整圖像。例如，在敲門講話時，您想知道其系統上是否有值得注意的數據。或者，您在擁有許多系統的位置，并且想知道應該首先分析哪個系統。尸檢具有使您能夠快速查找感興趣的數據而無需制作設備完整圖像的功能。這些功能將在下面進行描述，然后是一些示例場景，這些場景展示了如何將所有內容放在一起。

分流相關功能

在分診情況下，尸檢具有許多功能。有些可以幫助您更早地處理可能相關的文件，而另一些可以使您在與目標系統斷開連接后繼續分析數據。

優先次序

目的是在有限的時間來分析系統時首先找到最重要的文件。尸檢總是首先在用戶文件夾上運行（如果存在），因為在許多情況下，它們是最有可能包含感興趣數據的文件夾。

文件過濾器

對于特定情況，您可能會知道自己感興趣的特定文件類型。例如，如果僅關注查找圖像，則可以通過不分析任何非圖像文件來節省時間。與分析每個文件相比，這將使系統的處理速度更快。

文件過濾器使您可以限制將處理的文件類型。提取模塊頁面的“ 自定義文件過濾器”部分顯示了如何創建文件過濾器。您可以過濾文件名/擴展名，路徑或文件最近被修改的時間。保存后，可以在配置接收模塊時選擇新的文件過濾器。

攝取個人資料

加快分析速度的另一種方法是僅運行某些攝取模塊。例如，如果我們只對圖像感興趣，那么運行關鍵字搜索模塊或加密檢測模塊可能沒有任何意義。您可以每次都手動選擇和配置要運行的模塊，但是由于許多會話是相似的，因此設置攝取配置文件可能會更容易。攝取配置文件允許您存儲要運行的文件過濾器，應啟用的攝取模塊以及每個攝取模塊的配置。

一旦至少配置了一個攝取配置文件，一個新的屏幕就會出現在常規攝取模塊配置面板之前。如果選擇用戶定義的概要文件，那么將完全跳過該攝取模塊配置面板，并且該概要文件中的攝取模塊將在數據源上運行。

請參閱使用攝取配置文件中的部分攝取模塊頁關于如何設置和使用攝錄配置文件的其他信息。

在實時系統和設備上運行

在分類情況下，通常沒有時間對所討論的系統進行完整映像。有幾種使用尸檢處理實時系統和設備的方法：

• 諸如USB驅動器之類的設備可以作為本地磁盤進行分析，而無需創建映像文件。有關更多詳細信息，請參見“ 添加本地磁盤”部分。
• 可以創建一個實時分類驅動器，使您可以從實時系統上的USB驅動器運行“驗尸”。所有案例數據將被保存到USB驅動器，而對被分析系統的更改最少。有關更多詳細信息，請參見創建Live Triage驅動器。
• 可以從受信任的Linux或Windows USB啟動目標計算機，并可以從中運行“驗尸”。Paladin在其可啟動的Linux USB中包括了Autopsy，并且還可以創建Windows FE映像。

制作稀疏圖像

使用上述任何一種分析活動系統和設備的方法，仍然存在以下問題：從驅動器斷開連接后，“驗尸”案例將不會非常有用。它指的是不再存在的設備，更重要的是，您可能沒有在分類期間觀察到的任何感興趣的文件的副本。

要解決此問題，您可以選擇在尸檢處理設備時制作“稀疏VHD”。這將保存“尸檢”讀取的每個扇區的副本，其中包括文件系統結構（例如主文件表）和通過攝取過濾器的文件（例如所有圖片）。

VHD是Microsoft虛擬機使用的一種文件格式，Windows和其他取證工具均可讀取。當尸檢從目標驅動器讀取更多數據時，VHD的大小將增加。

要創建稀疏的VHD，請在選擇要分析的磁盤時選中“制作VHD圖像…”框。

情境

方案：預覽用于兒童剝削材料的計算機

在這種情況下，您試圖回答在敲打和談話類型的情況下是否存在兒童剝削圖像，在這種情況下，目標系統的使用時間有限。

在辦公室準備：

• 在USB驅動器上 創建實時分類驅動器
• 從該USB驅動器啟動“尸檢”并創建一個攝取配置文件：
  • 使用僅在圖片和ZIP擴展名上運行的文件過濾器
  • 僅運行哈希查找模塊，EXIF解析器模塊 文件類型識別模塊和嵌入式文件提取模塊
  • 按照使用散列集將其復制到USB驅動器中的說明使用已知的子漏洞利用散列集

在屋子里：

• 開始分析：
  • 將您在辦公室制作的實時分類驅動器插入其筆記本電腦
  • 從.bat文件啟動尸檢
  • 創建案例（保存到USB驅動器）
  • 添加本地驅動器數據源
    • “C：”
    • 選擇制作VHD并保留默認位置
• 隨著自動化分析的繼續：
  • 在樹查看器中選擇“視圖”->“文件類型”->“圖像”，然后查看縮略圖
  • 等待哈希集命中
  • 評論EXIF文件
  • 標記找到的所有重要文件
• 您可以隨時停止分析。到目前為止，所有讀取的數據都將在VHD文件中。

創建實時分類驅動器

總覽

Live Triage功能使您可以將尸檢加載到可移動驅動器上以在目標系統上運行，同時對目標系統進行最小的更改。目前，這僅適用于Windows系統。

創建實時分類驅動器

要創建實時分類驅動器，請轉到“工具”->“創建實時分類驅動器”以顯示主對話框。

選擇您要使用的驅動器-任何類型的USB存儲設備都可以使用。為了獲得最佳效果，請使用最快的驅動器。該過程完成后，根文件夾將包含一個Autopsy文件夾和一個RunFromUSB.bat文件。

從實時分類驅動器運行尸檢

將驅動器插入目標計算機，然后在Windows資源管理器中瀏覽到它。右鍵單擊RunFromUSB.bat，然后選擇“以管理員身份運行”。這是分析本地驅動器所必需的。

運行腳本將在USB驅動器上生成更多目錄。configData目錄存儲尸檢使用的所有數據-主要是配置文件和臨時文件。您可以更改“驗尸”設置，它們將在兩次運行之間保持不變。創建案例目錄是建議的位置，用于保存案例數據。在“驗尸”中創建案例時，需要瀏覽至該文檔。

運行尸檢后，請照常創建案例，并確保將其保存在USB驅動器上。

然后選擇“本地磁盤”數據源，然后選擇所需的驅動器。

有關本地磁盤數據源的更多信息，請參見“ 添加本地磁盤”頁面。

使用哈希集

請按照以下步驟導入與哈希查找模塊一起使用的哈希集：

1. 如前所述，從實時分類驅動器運行尸檢

2. 轉到工具->選項，然后選擇“哈希集”標簽

3. 正常導入哈希集（使用“本地”目標），但選中底部的“將哈希集復制到用戶配置文件夾中”選項

   

這將允許使用散列集，而與分配給實時分類驅動器的驅動器號無關。