Autopsy что за программа

Autopsy — это программа с открытым исходным кодом, которая используется для выполнения криминалистических операций с жесткими дисками и смартфонами.

Этот инструмент применяется:

• правоохранительными органами
• местной полицией
• корпоративными отделами безопасности

Основное предназначение программы — расследование улик киберпреступлений, но также Autopsy может использоваться для восстановления удаленной информации.

Содержание:

• Создание нового проекта
• Источники данных
• Просмотр содержимого

• Типы файлов:

• По расширению
• Документы
• Исполняемые файлы

• Извлеченный контент

• Метаданные
• Корзина
• Загрузки из интернета

Первым делом скачаем Autopsy.

Создание нового проекта

Запускаем Autopsy в Windows и нажимаем «New Case».

Verbal autopsies used to track global deaths

Вводим название проекта, а также выбираем базовый каталог, чтобы все данные сохранялись в одном месте.

При необходимости можно добавить дополнительную информацию.

Источники данных

Теперь добавим тип источника данных. Есть разные типы на выбор:

• Disk Image or VM file: сюда входит файл образа, который может быть точной копией:

• жесткого диска
• карты памяти
• виртуальной машины

• жесткий диск
• USB накопители
• карты памяти и т. д.

Теперь добавим источник данных. В данном случае выберем заранее подготовленный образ.

Затем будет предложено настроить модуль Ingest.

Содержимое модуля Ingest приведено ниже:

Информация об источнике данных отображает основные метаданные. Его подробный анализ отображается внизу. Его можно извлекать один за другим.

Просмотр содержимого

Типы файлов

Типы файлов можно классифицировать по форме расширения файла или типа MIME.

Autopsy предоставляет информацию о расширениях файлов, которые обычно используются ОС, тогда как типы MIME используются браузером, чтобы решить, какие данные представлять. Также отображаются удаленные файлы.

Типы файлов можно разделить на категории в зависимости от:

How Is An Autopsy Performed?

По расширению

В категории файлов по расширению можно заметить, что они были разделены на типы файлов, такие как:

Давайте исследуем изображения, которые были восстановлены.

Autopsy — Криминалистический анализ содержимого носителей информации и папок

Криминалистический анализ содержимого носителя информации или папки для расследования.

1. Главная
2. Безопасность — прочее
3. Autopsy

15 апреля 2023 г. 15:22 Английский Apache License 2.0

Программа для криминалистики позволяющая анализировать содержимое носителя информации или указанной папки, которая является графическим интерфейсом к The Sleuth Kit и других инструментов цифровой криминалистики. Она может использоваться правоохранительными органами, военными и корпоративными службами безопасности для расследования произошедшего на компьютере. Можно использовать для восстановления фотографий с карты памяти камеры. Также она позволяет искать текст в файлах множества форматов, включая doc и docx.

Autopsy позволяет эффективно анализировать жесткие диски и смартфоны. Он имеет подключаемую архитектуру, которая позволяет находить дополнительные модули или разрабатывать пользовательские модули в Java или Python.

Особенности:

• анализ временной шкалы: отображает системные события в графическом интерфейсе для определения активности;
• поиск по ключевым словам: модули поиска текста и индексирования позволяют находить файлы, в которых упоминаются конкретные термины, и найти шаблоны регулярных выражений;
• веб-артефакты: извлекает веб-активность из общих браузеров, чтобы помочь определить активность пользователя;
• анализ реестра: использует RegRipper для идентификации недавно доступных документов и USB-устройств;
• анализ файлов LNK: определение сокращений и доступ к документам;
• Email анализ: Анализирует MBOX сообщений формата, такие как Thunderbird.
• EXIF: извлекает географическое местоположение и информацию о камере из файлов JPEG;
• сортировка типов файлов: группируйте файлы по их типу, чтобы найти все изображения или документы;
• воспроизведение мультимедиа: просмотр видео и изображений в приложении не требуя внешнего просмотрщика;
• просмотр миниатюр: отображение миниатюр изображений для быстрого просмотра изображений;
• файловый системный анализ: поддержка общих файловых систем, включая NTFS, FAT12 / FAT16 / FAT32 / ExFAT, HFS +, ISO9660 (CD-ROM), Ext2 / Ext3 / Ext4, Yaffs2 и UFS из набора Sleuth;
• хеш-фильтрация: фильтрация известных хороших файлов с помощью NSRL и отметка известных плохих файлов с помощью пользовательских хэш-наборов в форматах HashKeeper, md5sum и EnCase;
• Unicode Strings Extraction: извлекает строки из нераспределенного пространства и неизвестные типы файлов на многих языках (арабском, китайском, японском и т.д.);
• обнаружение типа файла, основанного на обнаружении подписи;
• модуль интересных файлов будет отмечать файлы и папки на основе имени и пути;
• поддержка Android: извлекает данные из SMS, журналов вызовов, контактов, сообщений с друзьями и т.д.;
• Autopsy анализирует образы дисков, локальные диски или папку с локальными файлами. Образы дисков могут быть в формате raw / dd или E01. Поддержка E01 обеспечивается libewf.

Программа была разработана, чтобы быть интуитивно понятной прямо из коробки. Все результаты отображены в одном дереве.

Autopsy была разработана как платформа с модулями, которые поставляются с ней из коробки, и другими, которые доступны от сторонних производителей. Некоторые из модулей обеспечивают:

• анализ временной шкалы — расширенный интерфейс просмотра графических событий;
• хеш-фильтрация — флаг известных плохих файлов и игнорирование известных хороших;
• поиск по ключевым словам — поиск по ключевым словам для поиска файлов, в которых указаны соответствующие ключевые слова;
• веб-артефакты — извлечение истории, закладок и файлов cookie из Firefox, Chrome и IE;
• восстановление удаленных файлов из нераспределенного пространства с помощью PhotoRec;
• извлечение EXIF ​​из фотографий и просмотр видео;
• сканирование компьютера с использованием STIX.

Программа выполняет параллельные задания с использованием нескольких ядер и предоставляет результаты сразу же после их обнаружения. Для полного поиска может потребоваться несколько часов.

Программа позволяет создавать дополнительные типы отчетов для проведения расследований. По умолчанию доступны отчеты HTML, XLS и Body. Каждый из них настраивается в зависимости от того, какую информацию следователь хотел бы включить в свой отчет.

Характеристики

Ссылки на официальный сайт и загрузку

• Веб-сайт:www.autopsy.com
• Каталог загрузки
• Прямая ссылка
• Резервная копия

Источник: xn--90abhbolvbbfgb9aje4m.xn--p1ai

Статья Autopsy — цифровая криминалистическая платформа

Autopsy является цифровой криминалистической платформой и графическим интерфейсом для The Sleuth Kit® и других инструментов криминалистических анализа. Она используется правоохранительными, военными и корпоративными экспертами для расследования того, что произошло на компьютере. Вы даже можете использовать его для восстановления фотографий с карты памяти вашей камеры.

Ссылка скрыта от гостей
Ссылка скрыта от гостей

Autopsy была разработана, чтобы быть сразу интуитивно понятной. Установка простая, а руководство по использованию разъяснит вам каждый шаг. Все результаты находятся в одном дереве. Смотри страницу intuitive для получения больших деталей.

Ссылка скрыта от гостей
Ссылка скрыта от гостей
Ссылка скрыта от гостей

Все хотят получить результат еще вчера. Autopsy запускает фоновые задания в параллельно используемых множественных ядрах и предоставляет вам результаты, как только они будут найдены. Это может занять несколько часов, чтобы полностью провести поиск в накопителе, но вы будете знать уже через несколько минут, содержит ли пользовательская домашняя директория заданные вами ключевые слова. Для получения большей информации смотрите страницу fast results.

Очень рентабельная

Autopsy бесплатная. Поскольку бюджеты сокращаются, необходимы экономически эффективные решения для цифровой криминалистики. Autopsy предлагает те же самые ключевые особенности, как и другие цифровые криминалистические инструменты, а также некоторые необходимые свойства, такие как анализ веб-артефактов и анализ реестра, которые другие платные инструменты не предоставляют.

Анализ свойств Autopsy

Ссылка скрыта от гостей
Ссылка скрыта от гостей
Ссылка скрыта от гостей
Ссылка скрыта от гостей

• Registry Analysis: Использует RegRipper для определения недавно открытых документов и USB-устройств.
• LNK File Analysis: Определяет сокращения и доступные документы.
• Email Analysis: Разбирает сообщения формата MBOX, такие как Thunderbird.
• EXIF: Извлекает геолокационную информацию о камерах из файлов JPEG.
• File Type Sorting: Группирует файлы по их типу, чтобы найти все изображения или документы.
• Media Playback: Просматривает видео и изображения в приложении и не требует средства внешнего просмотра.
• Thumbnail viewer: Отображает эскизы изображений для быстрого просмотра картинок.
• Robust File System Analysis: Поддержка общих файловых систем, включая NTFS, FAT12/FAT16/FAT32/ExFAT, HFS+, ISO9660 (CD-ROM), Ext2/Ext3/Ext4, Yaffs2, и UFS из

Ссылка скрыта от гостей
Ссылка скрыта от гостей

HTML и Excel: HTML и Excel отчеты предназначены для пакетированных и совместно используемых отчетов. Они могут включать в себя ссылки на помеченные файлы вместе с комментариями и заметками вставленных следователем, также как и другие данные автоматических поисков, которые Autopsy проводит на протяжении сбора данных. К ним относятся закладки, история веб-поиска, последние документы, обращения к ключевым словам, хиты hashset, установленные программы, подключенные устройства, файлы cookie, загрузки и поисковые запросы.

Ссылка скрыта от гостей

: В первую очередь, для анализа временной шкалы, этот файл будет включать в себя MAC times для каждого файла в формате XML для импорта с помощью внешних инструментов, таких как

Источник: codeby.net