總覽

命令行提取功能使您可以從命令行運行許多驗尸功能。您可以將數據源添加到案例，選擇要運行的攝取模塊，并自動生成報告。完成后，可以正常打開這些案例，或者您可以簡單地使用報告和其他輸出而無需打開“尸檢”。

組態

轉到“工具”->“選項”，然后選擇“命令行提取”選項卡。

使用攝取模塊設置來配置要如何運行攝取。這與常規攝取模塊配置相同-選擇文件過濾器，然后啟用或禁用各個攝取模塊，并根據需要更改其設置。按“確定”保存您的設置。

使用報告模塊設置來選擇和配置報告類型。僅生成所選的報告類型。配置通常與常規報告的生成相同，但有一些細微差別。這主要出現在您的選項取決于打開的大小寫的地方，例如選擇要報告的標簽或要包含的有趣文件集名稱。例如，HTML報告通常允許您選擇要包含的特定標簽，但是對于命令行提取，它只能選擇包含所有標簽。

如果您要創建或打開多用戶案例，則需要配置多用戶設置。

命令選項

在命令提示符下，導航到“尸檢箱”文件夾。通常位于“ C：\ Program Files \ Autopsy-version \ bin”中。

下表總結了命令行操作。您可以一次運行一個或多個，盡管您必須始終創建案例或打開現有案例。

下面給出了有關每個操作的更多詳細信息以及其他示例。

創建和打開案例

您將始終需要創建案例或提供現有案例的路徑。創建案例時，當前時間戳將添加到案例名稱中。例如，運行以下命令：

autopsy64.exe –createCase –caseName =“ test5” –caseBaseDir =“ C：\ work \ cases”

可以創建案例文件夾“ test5_2019_09_20_11_01_29”。請注意，即使在名稱上添加了時間戳，–caseName字段對于每次運行也必須是唯一的。

默認情況下，所有案例均為單用戶。如果要創建多用戶案例，則需要-caseType字段。您還應該使用案例文件夾的網絡路徑，以便服務可以訪問它：

autopsy64.exe –createCase –caseName =“ test_multi” –caseBaseDir =“ \ WIN-2913 \ work \ cases” –caseType =“ multi”

創建案例后，您將需要使用案例的完整路徑，而不是案例名稱和基本文件夾。例如，如果我們如上所述創建空情況“ test5”，則可以使用以下命令向其添加數據源：

autopsy64.exe –caseDir =“ C：\ work \ Cases \ test5_2019_09_20_11_01_29” –addDataSource –dataSourcePath =“ R：\ work \ images \ small2.img”

打開案例時，無需指定案例類型（單用戶或多用戶）。

添加新數據源并運行攝取

您可以使用–addDataSource選項將數據源添加到新案例或現有案例中，然后提供數據源的路徑。如果使用–runIngest選項，則在配置步驟中選擇的攝取模塊將在數據源上運行。這兩種磁盤映像和邏輯文件的支持。您一次只能添加一個數據源。

在此示例中，我們將創建一個名為“ test6”的新案例，并添加數據源“ blue_images.img”。

autopsy64.exe –createCase –caseName =“ test6” –caseBaseDir =“ C：\ work \ cases” –addDataSource –dataSourcePath =“ R：\ work \ images \ blue_images.img”

在這里，我們將添加另一個數據源（“ green_images.img”）到我們剛才創建的情況下并對其進行提取。請注意，攝取只會在新的數據源（“ green_images.img”）上運行，而不是已經存在的情況（“ blue_images.img”）。

autopsy64.exe –caseDir =“ C：\ work \ cases \ test6_2019_09_20_13_00_51” –addDataSource –runIngest –dataSourcePath =“ R：\ work \ images \ green_images.img”

最后，我們將添加一個文件夾（“測試文件”）作為設置為新案例（“ test9”）的邏輯文件。

autopsy64.exe –createCase –caseName =“ test9” –caseBaseDir =“ C：\ work \ Cases” –addDataSource –dataSourcePath =“ R：\ work \ images \ Test文件” –runIngest

在現有數據源上運行提取

如果您知道數據對象的ID，就可以在數據源上運行攝取。要找到此文件，請轉到case文件夾并打開“ Command Output”文件夾。

如果使用–listAllDataSources選項運行，則至少有一個文件以“ listAllDataSources”開頭。打開最近的一個-格式將與此類似：

{ “ @dataSourceName”：“ blue_images.img”， “ @dataSourceObjectId”：“ 1” } { “ @dataSourceName”：“ green_images.img”， “ @dataSourceObjectId”：“ 84” }

您也可以瀏覽addDataSource文件，找到與要提取的文件相對應的文件。格式將相同。知道數據源對象ID后，就可以使用–dataSourceObjectId選項進行指定。例如，這將在“ blue_images.img”上運行攝取：

autopsy64.exe –caseDir =“ C：\ work \ cases \ test6_2019_09_20_13_00_51” –runIngest –dataSourceObjectId = 1

生成報告

您可以使用–generateReports選項生成有關案件的報告。您可以通過“驗尸”選項面板選擇要導出的報告類型（請參閱“ 配置”部分）。此選項可以單獨運行，也可以在處理數據源的同時運行。在此示例中，我們將添加一個新的數據源（“ small2.img”）并生成一個報告。

autopsy64.exe –caseDir =“ C：\ work \ cases \ test6_2019_09_20_13_00_51” –addDataSource –dataSourcePath =“ R：\ work \ images \ small2.img” –runIngest –generateReports

列出所有數據源

您可以隨時添加–listAllDataSources，以輸出當前情況下所有情況下的所有數據源及其對象ID的列表，以便在現有數據源上運行時使用。該命令甚至可以僅通過案例路徑單獨運行。

autopsy64.exe –caseDir =“ C：\ work \ cases \ test6_2019_09_20_13_00_51” –listAllDataSources

進行尸檢

確定所需參數后，就可以運行尸檢了。在下面的示例中，我們將創建一個新案例（“ xpCase”），向其中添加數據源（“ xp-sp3-v4.001”），運行摘要并生成報告。該報告類型先前已配置為HTML報告。

如果您正確輸入了所有內容，則將加載“尸檢”，并且您會在屏幕中間看到以下對話框：

相反，如果您看到正常情況下的打開對話框，則很可能意味著您的命令行格式錯誤。確認沒有拼寫錯誤，并且您具有要嘗試執行的操作的適當參數。

如果一切正常，您將看到處理完成的日志，并且尸檢將在完成后關閉。

查看結果

您可以打開在命令行上創建的案例，就像其他任何驗尸案例一樣。只需轉到“打開案例”，然后瀏覽到在“ 配置”部分中設置的輸出文件夾，然后查找以案例名稱開頭的文件夾。它將在您指定的名稱后附加一個時間戳。

如果您僅對報告感興趣，則無需打開“尸檢”。您可以瀏覽到案例中的“ Reports”文件夾，然后直接訪問報告。