Autopsy
Описание Autopsy
Autopsy — это платформа цифровой криминалистики и графический интерфейс для Sleuth Kit и других цифровых криминалистических инструментов. Она используется правоохранительными органами, военными и корпоративными экспертами для расследования происшедшего на компьютерах. Обычные пользователи могут использовать её, например, для восстановления фотографий с цифровой карты памяти камеры.
Autopsy была создана чтобы быть интуитивно понятной из коробки. Установка проста и мастер проведёт вас по всем шагам.
Расширяемая
Autopsy была создана быть самодостаточной платформой с модулями, которые поставляются из коробки и доступны из сторонних источников. Некоторые из этих модулей обеспечивают:
- Timeline Analysis (анализ активности по времени) — Продвинутый интерфейс графического представления активности в исследуемой системе.
- Hash Filtering (фильтрация по хешам) — Помечает файлы, про которые известно, что они плохие, и игнорирует хорошие файлы.
- Keyword Search (поиск по ключевым словам) — Индексируемый поиск по ключевым словам для поиска файлов, которые упоминают релевантные термины.
- Web Artifacts (веб артефакты) — Извлекает историю, закладки и кукиз из Firefox, Chrome и IE.
- Data Carving (выскабливание данных) — Восстановление удалённых файлов из не распределённого пространства с использованием PhotoRec
- Multimedia (мультимедиа) — Извлекает EXIF из картинок и просмотр видео.
- Indicators of Compromise (индикаторы компрометации) — Сканирует компьютер с использованием STIX.
Быстрота
Все хотят результаты ещё вчера. Autopsy запускает фоновые задачи параллельно, используя множество ядер и выводит результаты сразу после их обнаружения. На полное изучение диска могут уйти часы, но уже через минуты, если ваши ключевые слова были найдены в пользовательской домашней папки, вы об этом узнаете.
Рентабельная
Autopsy бесплатна. Если бюджет урезают, без экономически эффективных цифровых криминалистических инструментов не обойтись. Autopsy предлагает те же основные функции, что и другие инструменты для цифровой криминалистики, а также предлагает другие основные функции, такие как анализ веб артефактов и анализ регистра, которые отсутствуют в других коммерческих инструментах.
Ниже список возможностей Autopsy:
- Многопользовательские кейсы: Сотрудничайте с другими коллегами по исследованию в больших кейсах.
- Анализ активности по времени: Показ системных событий в графическом интерфейсе для помощи в идентификации активности.
- Поиск по ключевым словам: Извлечение текста и модули индексного поиска дают вам возможность найти файлы, которые упоминают специфические термины и осуществлять поиск по паттернам регулярных выражений.
- Веб артефакты: Извлечение веб активности из популярных браузеров для помощи в идентификации пользовательской активности.
- Анализ реестра: Используется RegRipper для идентификации доступа к последним документам и USB устройствам.
- Анализ файлов LNK: Определяет ярлыки и открытые документы.
- Анализ электронной почты: Разбор сообщений в формате MBOX, таким как Thunderbird.
- EXIF: Извлекает информацию о геолокации и камере из файлов JPEG.
- Сортировка по типам файлов: Группировка файлов по их типу для поиска всех изображений или документов.
- Воспроизведение медиа: Просматривайте видео и изображений в приложении, внешний просмотрщик не требуется.
- Просмотр миниатюр: Отображает миниатюры изображений для помощи в быстром обзоре картинок.
- Надёжный анализ файловой системы: Поддержка популярных файловых систем, включая NTFS, FAT12/FAT16/FAT32/ExFAT, HFS+, ISO9660 (CD-ROM), Ext2/Ext3/Ext4, Yaffs2 и UFS из The Sleuth Kit.
- Фильтрация файлов по хешам: Отфильтровывание хорошо известных файлов с использованием NSRL и пометка плохих файлов, используя пользовательские наборе хешей в форматах HashKeeper, md5sum и EnCase.
- Тэги: Помечайте файлы тэгами, с произвольными именами тэгов, такими как «закладки», «подозрительные» и добавляйте комментарии.
- Извлечение строк Unicode: Извлекайте строки из не распределённых областей и неизвестных типов файлов на многих языках (арабском, китайском, японском и т. д.).
- Определение типа файла на основе сигнатур и выявление несоответствия расширения файла его содержимому.
- Модуль интересных файлов пометит файлы и папки, основываясь на имени и пути.
- Поддержка Android: Извлечение данных из SMS, журнала звонков, контактов, Tango, Words with Friends и других.
Форматы ввода
Autopsy анализирует образы дисков, локальные диски или папки с локальными файлами. Образы дисков могут быть как в сыром/dd, так и в E01 формате. Поддержка E01 обеспечивается libewf.
Составление отчётов
Autopsy — имеет расширяемую инфраструктуру отчётности, которая позволяет создавать исследователям дополнительные типы отчётов. Пол умолчанию доступны отчёты в файлах HTML, XLS и Body. Каждый настраивается в зависимости от информации, которую вы хотели бы включить в отчёт:
HTML и Excel: HTML и Excel отчёты предназначены для полностью упакованных и разделённых отчётов. Они могут включать ссылки на файлы с тэгами, а также вставленные комментарии и пометки исследователей, а также другие автоматические поиски, которые выполняет Autopsy во время анализа. Сюда относятся закладки, веб история, недавние документы, встреченные ключевые слова, встреченные совпадения с хешами, установленные программы, подключённые устройства, кукиз, загрузки и поисковые запросы
Файл Body: В основном для использования с анализом активности по времени, этот файл будет включать временные метки MAC (последняя модификация или запись, доступ или изменение) для каждого файла в формате XML для импорта внешними инструментами, такими как mactime в Sleuth Kit.
Следователи могут сгенерировать более чем один отчёт за раз, а также редактировать существующие или создавать новые модули для настройки поведения под их специфичные потребности.
Домашняя страница: http://www.sleuthkit.org/autopsy/
Автор: Brian Carrier
Лицензия: Apache License Version 2.0
Справка по Autopsy
Примечание: Справка в большей степени относится к устаревшей Linux версии, больше не актуально.
использование:
/usr/bin/autopsy [-c] [-C] [-d evid_locker] [-i device filesystem mnt] [-p port] [remoteaddr]
-c: форсировать куки в URL -C: принудительно БЕЗ куки в URL -d dir: указать директорию с доказательствами -i устройство файловой системы mnt: Указать для живого анализа -p порт: указать порт сервера (по умолчанию: 9999) remoteaddr: указать хост для браузера (по умолчанию: localhost)
Руководство по Autopsy
Примечание: Руководство в большей степени относится к устаревшей Linux версии, больше не актуально.
ИМЯ
autopsy — обозреватель криминалистического вскрытия.
СИНОПСИС
autopsy [-c] [-C] [-d evid_locker] [-i device filesystem mnt] [-p порт] [адрес]
ОПИСАНИЕ
По умолчанию, autopsy запускает Autopsy Forensic Browser (обозреватель криминалистического вскрытия) на порту 9999 и принимает подключения с localhost. Если указан ключ -p с портом, тогда сервер открывает этот порт и если указан адрес, то подключения принимаются только для этого хоста. Когда задан аргумент -i, autopsy переходим в режим живого анализа.
Аргументы следующие:
-c
Принудить программу использовать кукиз даже для localhost.
-C
Принудить программу не использовать кукиз даже на удалённых хостах.
-d evid_locker
Директория, где сохраняются кейсы и хосты. Это перезаписывает значение LOCKDIR в conf.pl. Путь должен быть абсолютным (т. е. начинаться с /).
-i device filesystem mnt
Указать информацию для режима живого анализа. Эту опцию можно указать так много раз, как нужно. Поле device для устройства с сырой файловой системой, поле filesystem для типа файловой системы, и поле mnt для точки монтирования файловой системы.
-p порт
TCP порт для прослушивания сервером.
адрес
IP адрес или имя хоста, где размещается следователь. Если используется localhost, то в URL должен использоваться 'localhost'. Если вы используете в URL реальное имя хоста или IP, то подключение будет отклонено.
При запуске, программа отобразит URL для копирования в HTML браузер. Браузер должен поддерживать фреймы и формы. Autopsy Forensic Browser позволит исследователю анализировать образы: просматривать файлы, блоки, узлы, искать по блокам. Программа генерирует оотчёты, которые включают время создания, имя следователя и знчение MD5 хешей.
ПЕРЕМЕННЫЕ
Следующие переменные могут быть установлены в conf.pl.
USE_STIMEOUT
Когда установлена на 1 (по умолчанию 0), сервер выйдет после STIMEOUT секунд нективности (по умолчанию это 3600). Эти настройки рекомендуются, если не используются кукиз.
BASEDIR
Директория, где размещаются дела и криминалистические образы. Образы должны иметь простое имя только из букв, цифр, '_', '-', и '.'. (Смотри ФАЙЛЫ).
TSKDIR
Директория, где размещены исполнимые файлы Sleuth Kit.
NSRLDB
Размещение NIST National Software Reference Library (NSRL).
INSTALLDIR
Директория, где была установлена Autopsy
GREP_EXE
Размещение бинарника grep(1).
STRINGS_EXE
Размещение бинарника strings(1).
ФАЙЛЫ
Evidence Locker
Это где сохраняются все дела и хосты. Это директория, которая будет включать поддиректории для каждого дела. Каждая директория будет иметь поддиректорию для каждого хоста.
<CASE_DIR>/case.aut
Это файла настройки дел для конкретного дела (кейса). Он содержит описание дела и поддиректории по умолчанию для хостов.
<CASE_DIR>/investigators.txt
Этот файл содержи список следователей, который будут использовать этот кейс. Это используется только для ведения журнала, а не для аутентификации.
<HOST_DIR>/host.aut
Это файл, где сохранены подробности настройки хоста. Он сход с файлом 'fsmorgue' из предыдущей версии Autopsy. Он имеет записи для каждого файла на хосте и содержит описание хоста.
md5.txt
Некоторые директории будут иметь внутри этот файл. Он содержит MD5 значения для важных файлов в директории. Это делает простым валидацию целостности образов.
Примеры запуска Autopsy
Запустить Autopsy со значениями по умолчанию:
sudo autopsy
Установка Autopsy
Программа предустановлена в Kali Linux.
Установка в BlackArch
Программа предустановлена в BlackArch.
Установка в Windows
Скачайте файл установщика на официальном сайте и следуйте подсказкам графического мастера установки.
Информация об установке в другие операционные системы будет добавлена позже.
Скриншоты Autopsy
Инструкции по Autopsy
Ссылки на инструкции будут добавлены позже.
Comments are Closed