Вскрытие (программное обеспечение)

Autopsy - это компьютерное программное обеспечение, которое упрощает развертывание многих программ и плагинов с открытым исходным кодом, используемых в The Sleuth Kit . ^[1] Графический пользовательский интерфейс отображает результаты судебно-медицинской экспертизы основного тома, что облегчает следователям пометку соответствующих разделов данных. Инструмент в основном поддерживается Basis Technology Corp. с помощью программистов из сообщества. Компания продает услуги поддержки и обучение использованию продукта. ^[2]

Инструмент разработан с учетом следующих принципов:

Расширяемость - пользователь должен иметь возможность добавлять новые функции, создавая плагины, которые могут анализировать весь или часть базового источника данных.
Централизованный - инструмент должен предлагать стандартный и последовательный механизм доступа ко всем функциям и модулям.
Простота использования - Браузер Autopsy должен предлагать мастера и исторические инструменты, чтобы пользователям было проще повторять свои действия без чрезмерной перенастройки.
Несколько пользователей - инструмент должен использоваться одним исследователем или координировать работу группы.

Базовый браузер может быть расширен путем добавления модулей, которые помогают сканировать файлы (так называемое «поглощение»), просматривать результаты (называемое «просмотром») или суммировать результаты (называемое «отчетностью»). Коллекция модулей с открытым исходным кодом позволяет настраивать.

Процесс [ править ]

Autopsy анализирует основные файловые системы (NTFS, FAT, ExFAT, HFS +, Ext2 / Ext3 / Ext4, YAFFS2) путем хеширования всех файлов, распаковки стандартных архивов (ZIP, JAR и т. Д.), Извлечения любых значений EXIF и помещения ключевых слов в индекс. Некоторые типы файлов, такие как стандартные форматы электронной почты или файлы контактов, также анализируются и каталогизируются.

Пользователи могут искать в этих проиндексированных файлах недавнюю активность или создавать отчет в формате HTML или PDF, обобщающий важную недавнюю активность. Если времени мало, пользователи могут активировать функции сортировки, которые используют правила для анализа в первую очередь наиболее важных файлов. Вскрытие может сохранить частичное изображение этих файлов в формате VHD.

Корреляция [ править ]

Исследователи, работающие с несколькими машинами или файловыми системами, могут создать центральное хранилище данных, позволяющее им отмечать номера телефонов, адреса электронной почты, файлы или другие соответствующие данные, которые могут быть найдены в нескольких местах. В базе данных SQL Lite или PostgreSQL хранится информация, поэтому исследователи могут найти все вхождения имен, доменов, номеров телефонов или записей реестра USB.

Язык [ править ]

Версия 2 Autopsy написана на Perl и работает на всех основных платформах, включая Linux, Unix, macOS и Windows. Он полагается на The Sleuth Kit для анализа диска. Версия 2 выпущена под лицензией GNU GPL 2.0. ^[3]

Autopsy 3.0 написан на Java с использованием платформы NetBeans . Он был выпущен под лицензией Apache 2.0. ^[3]

Autopsy 4.0 работает в Windows , Linux и macOS .

Вскрытие зависит от количества библиотек с различными лицензиями. ^[3] Он работает с базами данных SQL Lite и PostgreSQL для хранения информации. Индексы для поиска по ключевым словам построены с помощью Lucene / SOLR.

Ссылки [ править ]

^ «Комплект Сыщика (TSK) и Вскрытие: Инструменты цифровой криминалистики с открытым исходным кодом» . Брайан Кэрриер.
^ «Цифровая криминалистика» . Basis Technology Corp. 23 декабря 2013 г.
^ ^a ^b ^c "Вскрытие: Лицензия" . Брайан Кэрриер.

[1] «Комплект Сыщика (TSK) и Вскрытие: Инструменты цифровой криминалистики с открытым исходным кодом» . Брайан Кэрриер.

[2] «Цифровая криминалистика» . Basis Technology Corp. 23 декабря 2013 г.

[lic-3] "Вскрытие: Лицензия" . Брайан Кэрриер.

[1]