Autopsy数字取证软件安装配置及使用教程

软件简介

Autopsy是The Sleuth Kit（TSK）的图形界面版开源的数字取证工具，可用来分析磁盘镜像和恢复删除的文件，提供在磁盘镜像中进行字符串提取，包括关键字搜索，哈希匹配，注册表分析，Web分析，恢复文件，时间轴分析，chrome，firefox 等浏览器历史分析，关键字搜索和邮件分析等功能，并具有可扩展性（附加模块）。

下载安装

• Autopsy官网地址：https://sleuthkit.org/

性能优化

安装 Autopsy 后，官方建议执行以下几项基于硬件的操作来优化其性能：

1. 线程数

   调整路径：Tools->Options->Ingest->Settings

   线程数：更改运行时使用的并行线程管道数。软件默认值为2个管道，但如果在具有多个内核的系统上运行，则可以增加此值。

   在“设置”选项卡上的"收录"面板上，有一个用于"文件收录的线程数的"下拉列表。最大值与系统上的处理器数相同（最多四个）。摄取线程数不能设置为 4 个以上。测试表明，对于大多数系统和设置，在四个线程之后，机器无论如何都是 I/O 绑定的，并且将此数字增加到四个以上实际上可能会降低性能。【每次更改后，重新启动Autopsy以使此设置生效】

   

   

2. 镜像和案例不同盘

制作案例时，请使用不同的驱动器来存储案例和图像。这允许同时读取和写入最大数据量。建议使用固态硬盘分析案例，速度快些。

添加数据源

选择数据源类型，有其它时区的要求，注意选择对应的时区。当然也可以分析完后再更改，不过建议现在就选择好，避免后期遗忘等。

除了可以更改时区外，还可以自定义展示其它数据（自行摸索，此处不做展开）。

分析报告导出

1. 选择报告类型

   可以使用"生成报告"工具栏按钮生成包含所有分析结果的最终报告。报告可以以 HTML、XLS、KML 和其他格式生成。

   

2. 选择数据源

   选择要包括的数据源，单个检材一般默认即可，多检材需要注意勾选。

   

3. 选择自定义的报告结果

   可以自定义导出报告的结果，这在特定的案件类型或需要特定的数据报告中特别有用，如特定标记的。

   英文	中文
   All Results	所有的结果
   All Tagged Results	所有标记结果
   Specific Tagged Results	特定标记结果

   

4. 导出路径

   导出路径：默认在案件存储路径下，打开即可看到。

5. 报告展示

   导出的HTML报告显示如下，不仅记录有报告生成时间，还有软件及各个模块的详细版本号，分析结果等，应用尽有，非常翔实。