Autopsy数字取证软件安装配置及使用教程
软件简介
Autopsy是The Sleuth Kit(TSK)的图形界面版开源的数字取证工具,可用来分析磁盘镜像和恢复删除的文件,提供在磁盘镜像中进行字符串提取,包括关键字搜索,哈希匹配,注册表分析,Web分析,恢复文件,时间轴分析,chrome,firefox 等浏览器历史分析,关键字搜索和邮件分析等功能,并具有可扩展性(附加模块)。
下载安装
- Autopsy官网地址:https://sleuthkit.org/
性能优化
安装 Autopsy 后,官方建议执行以下几项基于硬件的操作来优化其性能:
-
线程数
调整路径:
Tools->Options->Ingest->Settings
线程数:更改运行时使用的并行线程管道数。软件默认值为2个管道,但如果在具有多个内核的系统上运行,则可以增加此值。
在“设置”选项卡上的"收录"面板上,有一个用于"文件收录的线程数的"下拉列表。最大值与系统上的处理器数相同(最多四个)。摄取线程数不能设置为 4 个以上。测试表明,对于大多数系统和设置,在四个线程之后,机器无论如何都是 I/O 绑定的,并且将此数字增加到四个以上实际上可能会降低性能。【每次更改后,重新启动Autopsy以使此设置生效】
-
镜像和案例不同盘
制作案例时,请使用不同的驱动器来存储案例和图像。这允许同时读取和写入最大数据量。建议使用固态硬盘分析案例,速度快些。
添加数据源
选择数据源类型,有其它时区的要求,注意选择对应的时区。当然也可以分析完后再更改,不过建议现在就选择好,避免后期遗忘等。
除了可以更改时区外,还可以自定义展示其它数据(自行摸索,此处不做展开)。
分析报告导出
-
选择报告类型
可以使用"生成报告"工具栏按钮生成包含所有分析结果的最终报告。报告可以以 HTML、XLS、KML 和其他格式生成。
-
选择数据源
选择要包括的数据源,单个检材一般默认即可,多检材需要注意勾选。
-
选择自定义的报告结果
可以自定义导出报告的结果,这在特定的案件类型或需要特定的数据报告中特别有用,如特定标记的。
英文 中文 All Results 所有的结果 All Tagged Results 所有标记结果 Specific Tagged Results 特定标记结果 -
导出路径
导出路径:默认在案件存储路径下,打开即可看到。
-
报告展示
导出的HTML报告显示如下,不仅记录有报告生成时间,还有软件及各个模块的详细版本号,分析结果等,应用尽有,非常翔实。
评论区