<menu id="guoca"></menu>
<nav id="guoca"></nav><xmp id="guoca">
  • <xmp id="guoca">
  • <nav id="guoca"><code id="guoca"></code></nav>
  • <nav id="guoca"><code id="guoca"></code></nav>
    Autopsy中文使用教程(用戶版)
    展開或關閉
    Autopsy安裝
    安裝Autopsy Autopsy 優化性能 Autopsy 多用戶集群
    Autopsy快速入門指南
    Autopsy 快速入門指南
    Autopsy案例和添加數據源
    Autopsy工作流程 Autopsy 案例 Autopsy 數據源 Autopsy 查看案例日志和輸出
    Autopsy攝取模塊
    Autopsy 攝取模塊 Autopsy 最近活動模塊 Autopsy 哈希查找模塊 Autopsy 文件類型識別模塊 Autopsy 嵌入式文件提取模塊 EXIF解析器模塊 關鍵字搜索模塊 電子郵件解析器模塊 擴展不匹配檢測器模塊 數據源完整性模塊 Android分析器模塊 有趣的文件標識符模塊 PhotoRec Carver模塊 中央存儲庫模塊 加密檢測模塊 虛擬機提取器模塊 普拉索 無人機分析儀 GPX分析儀
    Autopsy查看結果
    用戶界面布局 樹查看器 結果查看器 內容查看器 機器翻譯 搜索所有案例
    Autopsy正在搜尋
    UI快速搜索 檔案搜尋 臨時關鍵字搜索 STIX 常用屬性搜索
    Autopsy專業觀眾
    圖片庫模塊 時間線 通訊可視化工具 地理位置 發現 角色
    Autopsy報告中
    標記和評論 報告中
    安裝第三方模塊
    安裝第三方模塊
    中央儲存庫
    中央儲存庫
    其他工作流程
    分流 邏輯成像儀 命令行提取
    實驗模塊
    實驗模塊 自動攝取 物體檢測 波動率數據源處理器

    自動攝取

    Autopsy中文使用教程(用戶版) /

    總覽

    自動提取允許一臺或多臺計算機在用戶提供最少支持的情況下自動處理數據源。分析人員可以使用“尸檢”中的任何正常功能打開并審閱由此產生的多用戶案例

    實驗模塊必須能夠運行使用自動化攝取。

    自動處理部署中有三種類型的計算機:

    • 自動提取節點:這些計算機負責監視“共享圖像”文件夾并檢測何時復制了新圖像。每臺計算機均將其結果寫入“共享案例”文件夾。
    • 檢查者節點:這些計算機可以在處理過程中或由自動提取節點分析案例后打開案例。它們使檢查者可以檢查結果,標記文件并根據需要執行其他分析。
    • 服務/存儲節點:這些計算機運行多用戶案例所需的服務,保存要處理的圖像并存儲分析的尸體案例。

    常規工作流程如下:

    1. 磁盤映像或其他類型的數據源將添加到共享映像文件夾中。該文件夾將包含所有復制到系統中的磁盤和電話映像。必須先將它們復制到此處,然后才能對其進行分析。由于一臺以上的計算機可能需要通過網絡訪問此文件夾,因此請使用UNC路徑(如果可能)來引用此文件夾。
    2. 清單文件添加用于要被處理的每個數據源。
    3. 自動攝取節點會找到該清單文件并開始處理數據源。如果沒有共享文件夾,它將在共享案例文件夾中創建一個案例。在對圖像執行自動分析之后,此文件夾將包含所有分析結果。該文件夾將不包含圖像,這些圖像將保留在“共享圖像”文件夾中。由于一臺以上的計算機可能需要通過網絡訪問此文件夾,因此請使用UNC路徑(如果可能)來引用此文件夾。
    4. 檢查員節點上的分析人員打開案例并開始分析。這可能在自動提取節點正在處理數據時或之后發生。

    自動化處理部署可以具有這樣的體系結構:

    overview_pic1.png

    包括網絡基礎結構的另一個圖示如下所示:

    overview_pic2.png

    組態

    “自動提取配置”頁面上介紹了配置一組計算機以進行自動提取。

    檢查者節點使用情況

    自動提取環境中的檢查者節點通常與為多用戶案例設置的任何常規“尸檢”客戶端相同任何數量的檢查者節點都可以打開由自動提取節點創建的案例。案例不需要完整。

    檢查者可以通過“工具”菜單打開自動提取儀表板。這使用戶可以查看計劃,進行中或完成的案例和數據源。

    inspectr_dashboard.png

    自動提取節點使用情況

    準備自動攝取的數據

    用戶將手動將圖像復制到源圖像文件夾(如果需要,可使用子文件夾),并通過在要攝取圖像旁邊的文件夾中創建一個文件來計劃將其攝取。該文件是描述圖像的清單文件。該文件的名稱必須以“ _Manifest.xml”結尾。

    manifest_file_in_file_explorer.png

    以下是尸檢清單文件的示例。不需要換行符/空格,但此處顯示了換行符/空格以提高人類可讀性。

    <?xml版本=“ 1.0”編碼=“ UTF-8”獨立=“否”?> <尸檢清單> XperiaCase </ CaseName> 50549 </ DeviceId> <Da??taSource> mtd3_userdata.bin </ DataSource> </ AutopsyManifest>

    以下是每個必填字段的說明:

    • CaseName:案例名稱。多個數據源可以屬于同一案例。
    • DeviceId:(可選)表示該數據源來自的設備的全局唯一ID。這可以是整數或UUID。
    • DataSource:數據源的文件名。不包括路徑。

    只要存在以上字段,XML文件中就可以包含任何數量的附加數據。

    清單文件可以使用清單工具自動生成。

    運行自動提取節點

    啟用自動提取模式后,“尸檢”將以與正常用戶界面不同的UI打開,從而使用戶可以查看正在處理的案件,已完成的案件以及隊列中的下一個案件。您還可以更改案例的優先級并重新處理可能有錯誤的案例。

    auto_ingest_in_progress.png

    用戶必須按下“開始”按鈕才能開始自動提取過程。請注意,如果重新啟動了在自動提取模式下運行“尸檢”的計算機,則必須有人登錄該計算機才能重新啟動“尸檢”。它不是自己開始的。當按下“開始”時,節點將掃描“共享圖像”文件夾以查找清單文件。提取運行時,此掃描會定期進行。也可以使用“刷新”按鈕手動啟動。

    自動攝取節點的UI將顯示計劃進行分析的圖像,當前正在運行的圖像以及已完成的圖像。如果新添加的圖像應具有最高優先級,則可以選擇它并選擇“區分大小寫”。這將優先處理同一情況下的所有圖像。您也可以使用“優先作業”按鈕以相同的方式僅對單個數據源(作業)進行優先排序。如果您錯誤地確定了優先級,“取消優先級”按鈕將撤消它。

    在中間區域,您可以看到當前正在運行的作業。您可以選擇取消正在分析的整個圖像,或者僅取消正在運行的當前模塊。當其中一個模塊運行時間過長并且您認為該模塊在映像方面遇到問題并且永遠無法完成時,將使用后者。如果自動攝取節點失去與數據庫或Solr服務的連接,它將自動取消當前正在運行的作業并暫停處理。解決連接問題后,您必須手動恢復處理。

    如果在處理作業時發生錯誤,或者作業設置不正確,則可以使用“重新處理作業”按鈕將已完成的作業移回到“待處理的作業”表中,如果需要,可以在其中對其進行優先級排序。沒有刪除病例數據,這可能導致結果重復。

    “刪除案例”將從列表中刪除案例并刪除其所有數據。這不會從輸入目錄中刪除原始圖像,清單文件或其他任何內容。如果案例在任何“檢查者節點”中當前處于打開狀態,或者自動提取節點當前正在處理與案例相關的作業,則無法刪除該案例。請謹慎使用“刪除案例”按鈕。請注意,一旦刪除案例,則必須更改其數據源的路徑,然后才能對其進行重新處理(即,重命名基本文件夾)。

    “自動攝取指標”按鈕顯示從用戶輸入的開始日期起系統中所有自動攝取節點的處理數據。

    metrics.png

    自動提取節點管理

    有關如何啟用管理員功能的信息,請參閱自動提取管理

    本文章首發在 網安wangan.com 網站上。

    上一篇 下一篇
    Ann
    資深作者 203 聲望
    暫無個人描述~
    討論數量: 0
    只看當前版本


    暫無話題~
    ? 2021 WANGAN.COM 幫助網安從業者成長;關注產業發展,做網絡安全忠誠衛士!
    亚洲 欧美 自拍 唯美 另类