Autopsy поддерживает несколько режимов анализа, соответствующих структуре пакета TSK. В режиме анализа файлов (File Analysis) эксперт просматривает списки файлов и каталогов, а также содержимое отдельных файлов. В режиме метаданных (Metadata) отображаются все метаданные, связанные с конкретной записью, и все блоки данных, выделенные файлам. Режим блоков данных (Data Unit) позволяет просмотреть содержимое любого блока данных файловой системы (как в шестнадцатеричном редакторе), а в режиме поиска по ключевым словам (Keyword Search) возможен поиск по ASCII-кодам и строкам Unicode. В последнем режиме поиск осуществляется по логическим томам, а не по логическим файлам. За дополнительной информацией о типах поиска обращайтесь к главе 8.

Autopsy также дает возможность сортировать файлы по типу и строить HTML-страницы с миниатюрами всех графических файлов. Предусмотрена возможность построения временных диаграмм файловых операций и создания заметок при обнаружении улик. По этим заметкам вам будет проще вернуться к тому месту, где была обнаружена улика. Наконец, подсистема отслеживания событий позволяет создавать заметки па основании временных штампов, полученных при исследовании улик, с последующей сортировкой данных. Например, можно создать заметки для времени создания файлов улик и оповещений системы IDS (Intrusion Detection System). Отсортированные заметки принесут пользу в фазе реконструкции событий.

Примерный вид окна Autopsy в режиме анализа файлов показан на рис. П.1.

Рис. П.1. Вид окна Autopsy в режиме анализа файлов

Autopsy | Криминалистический анализ файловых систем


Криминалистический анализ файловых систем



Новости за месяц

  • Март
    2020
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс