Autopsy

Описание Autopsy

Примечание: Данное описание в большей степени относится к Windows версии.

Autopsy — это платформа цифровой криминалистики и графический интерфейс для Sleuth Kit и других цифровых криминалистических инструментов. Она используется правоохранительными органами, военными и корпоративными экспертами для расследования происшедшего на компьютерах. Обычные пользователи могут использовать её, например, для восстановления фотографий с цифровой карты памяти камеры.

Autopsy была создана чтобы быть интуитивно понятной из коробки. Установка проста и мастер проведёт вас по всем шагам.

Расширяемая

Autopsy была создана быть самодостаточной платформой с модулями, которые поставляются из коробки и доступны из сторонних источников. Некоторые из этих модулей обеспечивают:

  • Timeline Analysis (анализ активности по времени) — Продвинутый интерфейс графического представления активности в исследуемой системе.
  • Hash Filtering (фильтрация по хешам) — Помечает файлы, про которые известно, что они плохие, и игнорирует хорошие файлы.
  • Keyword Search (поиск по ключевым словам) — Индексируемый поиск по ключевым словам для поиска файлов, которые упоминают релевантные термины.
  • Web Artifacts (веб артефакты) — Извлекает историю, закладки и кукиз из Firefox, Chrome и IE.
  • Data Carving (вырезка данных) — Восстановление удалённых файлов из не распределённого пространства с использованием PhotoRec
  • Multimedia (мультимедиа) — Извлекает EXIF из картинок и просмотр видео.
  • Indicators of Compromise (индикаторы компрометации) — Сканирует компьютер с использованием STIX.

Быстрота

Все хотят результаты ещё вчера. Autopsy запускает фоновые задачи параллельно, используя множество ядер и выводит результаты сразу после их обнаружения. На полное изучение диска могут уйти часы, но уже через минуты, если ваши ключевые слова были найдены в пользовательской домашней папки, вы об этом узнаете.

Рентабельная

Autopsy бесплатна. Если бюджет урезают, без экономически эффективных цифровых криминалистических инструментов не обойтись. Autopsy предлагает те же основные функции, что и другие инструменты для цифровой криминалистики, а также предлагает другие основные функции, такие как анализ веб артефактов и анализ регистра, которые отсутствуют в других коммерческих инструментах.

Ниже список возможностей Autopsy:

  • Многопользовательские кейсы: Сотрудничайте с другими коллегами по исследованию в больших кейсах.
  • Анализ активности по времени: Показ системных событий в графическом интерфейсе для помощи в идентификации активности.
  • Поиск по ключевым словам: Извлечение текста и модули индексного поиска дают вам возможность найти файлы, которые упоминают специфические термины и осуществлять поиск по паттернам регулярных выражений.
  • Веб артефакты: Извлечение веб активности из популярных браузеров для помощи в идентификации пользовательской активности.
  • Анализ реестра: Используется RegRipper для идентификации доступа к последним документам и USB устройствам.
  • Анализ файлов LNK: Определяет ярлыки и открытые документы.
  • Анализ электронной почты: Разбор сообщений в формате MBOX, таким как Thunderbird.
  • EXIF: Извлекает информацию о геолокации и камере из файлов JPEG.
  • Сортировка по типам файлов: Группировка файлов по их типу для поиска всех изображений или документов.
  • Воспроизведение медиа: Просматривайте видео и изображений в приложении, внешний просмотрщик не требуется.
  • Просмотр миниатюр: Отображает миниатюры изображений для помощи в быстром обзоре картинок.
  • Надёжный анализ файловой системы: Поддержка популярных файловых систем, включая NTFS, FAT12/FAT16/FAT32/ExFAT, HFS+, ISO9660 (CD-ROM), Ext2/Ext3/Ext4, Yaffs2 и UFS из The Sleuth Kit.
  • Фильтрация файлов по хешам: Отфильтровывание хорошо известных файлов с использованием NSRL и пометка плохих файлов, используя пользовательские наборе хешей в форматах HashKeeper, md5sum и EnCase.
  • Тэги: Помечайте файлы тэгами, с произвольными именами тэгов, такими как «закладки», «подозрительные» и добавляйте комментарии.
  • Извлечение строк Unicode: Извлекайте строки из не распределённых областей и неизвестных типов файлов на многих языках (арабском, китайском, японском и т. д.).
  • Определение типа файла на основе сигнатур и выявление несоответствия расширения файла его содержимому.
  • Модуль интересных файлов пометит файлы и папки, основываясь на имени и пути.
  • Поддержка Android: Извлечение данных из SMS, журнала звонков, контактов, Tango, Words with Friends и других.

Форматы ввода

Autopsy анализирует образы дисков, локальные диски или папки с локальными файлами. Образы дисков могут быть как в сыром/dd, так и в E01 формате. Поддержка E01 обеспечивается libewf.

Составление отчётов

Autopsy — имеет расширяемую инфраструктуру отчётности, которая позволяет создавать исследователям дополнительные типы отчётов. Пол умолчанию доступны отчёты в файлах HTML, XLS и Body. Каждый настраивается в зависимости от информации, которую вы хотели бы включить в отчёт:

HTML и Excel: HTML и Excel отчёты предназначены для полностью упакованных и разделённых отчётов. Они могут включать ссылки на файлы с тэгами, а также вставленные комментарии и пометки исследователей, а также другие автоматические поиски, которые выполняет Autopsy во время анализа. Сюда относятся закладки, веб история, недавние документы, встреченные ключевые слова, встреченные совпадения с хешами, установленные программы, подключённые устройства, кукиз, загрузки и поисковые запросы

Файл Body: В основном для использования с анализом активности по времени, этот файл будет включать временные метки MAC (последняя модификация или запись, доступ или изменение) для каждого файла в формате XML для импорта внешними инструментами, такими как mactime в Sleuth Kit.

Следователи могут сгенерировать более чем один отчёт за раз, а также редактировать существующие или создавать новые модули для настройки поведения под их специфичные потребности.

Домашняя страница: http://www.sleuthkit.org/autopsy/

Автор: Brian Carrier

Лицензия: Apache License Version 2.0

Справка по Autopsy

Примечание: Справка в большей степени относится к Linux версии.

использование: 

/usr/bin/autopsy [-c] [-C] [-d evid_locker] [-i device filesystem mnt] [-p port] [remoteaddr]
  -c: форсировать куки в URL
  -C: принудительно БЕЗ куки в URL
  -d dir: указать директорию с доказательствами
  -i устройство файловой системы mnt: Указать для живого анализа
  -p порт: указать порт сервера (по умолчанию: 9999)
  remoteaddr: указать хост для браузера (по умолчанию: localhost)

Руководство по Autopsy

Примечание: Руководство в большей степени относится к Linux версии.

ИМЯ

autopsy — обозреватель криминалистического вскрытия.

СИНОПСИС

autopsy [-c] [-C] [-d evid_locker] [-i device filesystem mnt] [-p порт] [адрес]

ОПИСАНИЕ

По умолчанию, autopsy запускает Autopsy Forensic Browser (обозреватель криминалистического вскрытия) на порту 9999 и принимает подключения с localhost. Если указан ключ -p с портом, тогда сервер открывает этот порт и если указан адрес, то подключения принимаются только для этого хоста. Когда задан аргумент -i, autopsy переходим в режим живого анализа.

Аргументы следующие:

-c

Принудить программу использовать кукиз даже для localhost.

-C

Принудить программу не использовать кукиз даже на удалённых хостах.

-d evid_locker

Директория, где сохраняются кейсы и хосты. Это перезаписывает значение LOCKDIR в conf.pl. Путь должен быть абсолютным (т. е. начинаться с /).

-i device filesystem mnt

Указать информацию для режима живого анализа. Эту опцию можно указать так много раз, как нужно. Поле device для устройства с сырой файловой системой, поле filesystem для типа файловой системы, и поле mnt для точки монтирования файловой системы.

-p порт

TCP порт для прослушивания сервером.

адрес

IP адрес или имя хоста, где размещается следователь. Если используется localhost, то в URL должен использоваться 'localhost'. Если вы используете в URL реальное имя хоста или IP, то подключение будет отклонено.

При запуске, программа отобразит URL для копирования в HTML браузер. Браузер должен поддерживать фреймы и формы. Autopsy Forensic Browser позволит исследователю анализировать образы: просматривать файлы, блоки, узлы, искать по блокам. Программа генерирует оотчёты, которые включают время создания, имя следователя и знчение MD5 хешей.

ПЕРЕМЕННЫЕ

Следующие переменные могут быть установлены в conf.pl.

USE_STIMEOUT

Когда установлена на 1 (по умолчанию 0), сервер выйдет после STIMEOUT секунд нективности (по умолчанию это 3600). Эти настройки рекомендуются, если не используются кукиз.

BASEDIR

Директория, где размещаются дела и криминалистические образы. Образы должны иметь простое имя только из букв, цифр, '_', '-', и '.'. (Смотри ФАЙЛЫ).

TSKDIR

Директория, где размещены исполнимые файлы Sleuth Kit.

NSRLDB

Размещение NIST National Software Reference Library (NSRL).

INSTALLDIR

Директория, где была установлена Autopsy

GREP_EXE

Размещение бинарника grep(1).

STRINGS_EXE

Размещение бинарника strings(1).

ФАЙЛЫ

Evidence Locker

Это где сохраняются все дела и хосты. Это директория, которая будет включать поддиректории для каждого дела. Каждая директория будет иметь поддиректорию для каждого хоста.

<CASE_DIR>/case.aut

Это файла настройки дел для конкретного дела (кейса). Он содержит описание дела и поддиректории по умолчанию для хостов.

<CASE_DIR>/investigators.txt

Этот файл содержи список следователей, который будут использовать этот кейс. Это используется только для ведения журнала, а не для аутентификации.

<HOST_DIR>/host.aut

Это файл, где сохранены подробности настройки хоста. Он сход с файлом 'fsmorgue' из предыдущей версии Autopsy. Он имеет записи для каждого файла на хосте и содержит описание хоста.

md5.txt

Некоторые директории будут иметь внутри этот файл. Он содержит MD5 значения для важных файлов в директории. Это делает простым валидацию целостности образов.

Примеры запуска Autopsy

Запустить Autopsy со значениями по умолчанию:

sudo autopsy

Теперь в браузере перейдите по ссылке http://localhost:9999/autopsy

Загрузить Autopsy на порту 8888 (-p 8888), только для адреса 10.1.34.19:

sudo autopsy -p 8888 10.1.34.19

Установка Autopsy

Программа предустановлена в Kali Linux.

Имеется разница в версиях для Linux и Windows. Для Linux программа перестала развиваться и остановилась на версии 2. Именно она и доступна в репозиториях. Версия для Windows (на данный момент) имеет номер 4 и продолжает активно развиваться.

Установка в BlackArch

Программа предустановлена в BlackArch.

Установка в Windows

Скачайте файл установщика на официальном сайте и следуйте подсказкам графического мастера установки.

Информация об установке в другие операционные системы будет добавлена позже.

Скриншоты Autopsy

screenshot

41

Инструкции по Autopsy

Ссылки на инструкции будут добавлены позже.

Рекомендуемые статьи: