Sekcja zwłok (oprogramowanie)

Autopsy to oprogramowanie komputerowe, które ułatwia wdrażanie wielu programów open source i wtyczek używanych w The Sleuth Kit . Graficzny interfejs użytkownika wyświetla wyniki przeszukiwania woluminu bazowego, ułatwiając śledczym oznaczanie odpowiednich sekcji danych. Narzędzie jest w dużej mierze utrzymywane przez Basis Technology Corp. z pomocą programistów ze społeczności. Firma prowadzi sprzedaż usług wsparcia i szkoleń z obsługi produktu.

Narzędzie zostało zaprojektowane z myślą o następujących zasadach:

Rozszerzalny — użytkownik powinien mieć możliwość dodawania nowych funkcji poprzez tworzenie wtyczek, które mogą analizować całość lub część podstawowego źródła danych.
Scentralizowane — narzędzie musi oferować standardowy i spójny mechanizm dostępu do wszystkich funkcji i modułów.
Łatwość użycia — przeglądarka autopsji musi oferować kreatory i narzędzia historyczne, aby ułatwić użytkownikom powtarzanie czynności bez nadmiernej rekonfiguracji.
Wielu użytkowników — narzędzie powinno być dostępne dla jednego badacza lub koordynować pracę zespołu.

Podstawową przeglądarkę można rozszerzyć o moduły pomagające skanować pliki (tzw. „ingesting”), przeglądać wyniki (tzw. „viewing”) lub podsumowywać wyniki (tzw. „raportowanie”). Zbiór modułów typu open source umożliwia dostosowanie.

Proces

Autopsja analizuje główne systemy plików (NTFS, FAT, ExFAT, HFS+, Ext2/Ext3/Ext4, YAFFS2) poprzez haszowanie wszystkich plików, rozpakowywanie standardowych archiwów (ZIP, JAR itp.), wyodrębnianie wszelkich wartości EXIF i umieszczanie słów kluczowych w indeksie. Niektóre typy plików, takie jak standardowe formaty wiadomości e-mail lub pliki kontaktów, są również analizowane i katalogowane.

Użytkownicy mogą przeszukiwać te zindeksowane pliki pod kątem ostatnich działań lub tworzyć raporty w formacie HTML lub PDF podsumowujące ważne ostatnie działania. Jeśli czasu jest mało, użytkownicy mogą aktywować funkcje segregacji, które wykorzystują reguły do analizy najważniejszych plików w pierwszej kolejności. Sekcja zwłok może zapisać częściowy obraz tych plików w formacie VHD.

Korelacja

Śledczy pracujący z wieloma komputerami lub systemami plików mogą zbudować centralne repozytorium danych, umożliwiające oznaczanie numerów telefonów, adresów e-mail, plików lub innych istotnych danych, które mogą znajdować się w wielu miejscach. Baza danych SQL Lite lub PostgreSQL przechowuje informacje, dzięki czemu śledczy mogą znaleźć wszystkie wystąpienia nazw, domen, numerów telefonów lub wpisów rejestru USB.

Język

Wersja 2 Autopsy jest napisana w języku Perl i działa na wszystkich głównych platformach, w tym Linux, Unix, macOS i Windows. Opiera się na Sleuth Kit do analizy dysku. Wersja 2 jest wydawana na licencji GNU GPL 2.0.

Autopsy 3.0 jest napisany w Javie przy użyciu platformy NetBeans . Został wydany na licencji Apache 2.0.

Autopsy 4.0 działa w systemach Windows , Linux i macOS .

Sekcja zwłok zależy od wielu bibliotek z różnymi licencjami. Współpracuje z bazami danych SQLite i PostgreSQL do przechowywania informacji. Indeksy wyszukiwania słów kluczowych są budowane za pomocą Lucene / SOLR.

^ „The Sleuth Kit (TSK) & Autopsy: Open Source Digital Forensics Tools” . Briana Carriera.
^ „Cyfrowa kryminalistyka” . Basis Technology Corp. 23 grudnia 2013 r.
^ ^a ^b ^c „Autopsja: Licencja” . Briana Carriera.

Linki zewnętrzne

[1] „The Sleuth Kit (TSK) & Autopsy: Open Source Digital Forensics Tools” . Briana Carriera.

[2] „Cyfrowa kryminalistyka” . Basis Technology Corp. 23 grudnia 2013 r.

[lic-3] „Autopsja: Licencja” . Briana Carriera.