Главная » Linux

Autopsy linux что это

Содержание
  1. Подробное руководство по Autopsy
  2. Создание нового проекта
  3. Источники данных
  4. Просмотр содержимого
  5. Типы файлов
  6. По расширению
  7. Документы
  8. Исполняемые файлы
  9. По типам MIME
  10. Удаленные файлы
  11. Файлы по размеру
  12. Полученные результаты
  13. Извлеченный контент
  14. Ключевые слова
  15. Timeline
  16. Discovery
  17. Изображения/Видео
  18. Тегирование
  19. Создание отчетов
  20. Инструменты Kali Linux
  21. Список инструментов для тестирования на проникновение и их описание
  22. Autopsy
  23. Описание Autopsy

Подробное руководство по Autopsy

Autopsy — это программа с открытым исходным кодом, которая используется для выполнения криминалистических операций с жесткими дисками и смартфонами.

Этот инструмент применяется:

  • правоохранительными органами
  • местной полицией
  • корпоративными отделами безопасности

Основное предназначение программы — расследование улик киберпреступлений, но также Autopsy может использоваться для восстановления удаленной информации.

Содержание:

  • Создание нового проекта
  • Источники данных
  • Просмотр содержимого
    • Типы файлов:
      • По расширению
      • Документы
      • Исполняемые файлы
    • По типам MIME
  • Удаленные файлы
  • Файлы по размеру
  • Полученные результаты
    • Извлеченный контент
      • Метаданные
      • Корзина
      • Загрузки из интернета
    • Ключевые слова
  • Timeline
  • Discovery
  • Изображения/Видео
  • Тегирование
  • Создание отчетов

Создание нового проекта

Запускаем Autopsy в Windows и нажимаем «New Case».

Вводим название проекта, а также выбираем базовый каталог, чтобы все данные сохранялись в одном месте.

При необходимости можно добавить дополнительную информацию.

Источники данных

Теперь добавим тип источника данных. Есть разные типы на выбор:

  • Disk Image or VM file: сюда входит файл образа, который может быть точной копией:
    • жесткого диска
    • карты памяти
    • виртуальной машины
  • Local Disk: этот параметр включает такие устройства, как:
    • жесткий диск
    • USB накопители
    • карты памяти и т. д.
  • Logical Files: образы любых локальных каталогов или файлов.
  • Unallocated Space Image File: файлы, запускаемые с помощью модуля Ingest.
  • Autopsy Logical Imager Results: источник данных от сканера логических разделов дисков.
  • XRY Text Export: источник данных из экспорта текстовых файлов из XRY.

Теперь добавим источник данных. В данном случае выберем заранее подготовленный образ.

Затем будет предложено настроить модуль Ingest.

Содержимое модуля Ingest приведено ниже:

Информация об источнике данных отображает основные метаданные. Его подробный анализ отображается внизу. Его можно извлекать один за другим.

Просмотр содержимого

Типы файлов

Типы файлов можно классифицировать по форме расширения файла или типа MIME.

Autopsy предоставляет информацию о расширениях файлов, которые обычно используются ОС, тогда как типы MIME используются браузером, чтобы решить, какие данные представлять. Также отображаются удаленные файлы.

Типы файлов можно разделить на категории в зависимости от:

По расширению

В категории файлов по расширению можно заметить, что они были разделены на типы файлов, такие как:

Давайте исследуем изображения, которые были восстановлены.

Мы также можем просмотреть миниатюры изображений.

Читайте также:  Мобильный хот спот windows что это такое

При просмотре миниатюры можно изучить метаданные файла и подробную информацию об изображении.

Вдобавок здесь есть возможность посмотреть несколько восстановленных аудиофайлов, которые можно извлечь из системы и прослушать с помощью различных программ.

Документы

Документы делятся на 5 типов:

Изучив параметр документов, можно увидеть все имеющиеся HTML-документы. Наиболее важные можно открыть и посмотреть.

Изучив вариант PDF, можно найти важный PDF-файл в образе диска.

Точно так же можно просматривать различные текстовые файлы.

Удаленные текстовые файлы можно восстановить.

Исполняемые файлы

Эти типы файлов делятся на:

По типам MIME

Здесь есть четыре подкатегории:

  • Приложения
  • Аудио файлы
  • Изображения
  • Текстовые файлы

Они разделены на несколько разделов и типов файлов.

Удаленные файлы

Deleted Files: отображает информацию об удаленном файле, который затем можно восстановить.

Файлы по размеру

MB Size Files: здесь файлы классифицируются в зависимости от их размера, начиная с 50 МБ. Это позволяет исследователю искать большие файлы.

Полученные результаты

В этом разделе мы получаем информацию об извлеченном контенте.

Извлеченный контент

Extracted Content: весь извлеченный контент дополнительно детализируется. В нашем случае мы нашли:

  • метаданные
  • корзину
  • загрузки из Интернета

Давайте рассмотрим каждый из них подробнее.

Metadata: здесь мы можем просмотреть всю информацию о файлах, такие как:

  • дату создания
  • дату изменения
  • владельца файла и т. д.

Recycle Bin: в этой категории находятся файлы, помещенные в корзину.

Web Downloads: здесь можно увидеть файлы, которые были загружены из Интернета.

Ключевые слова

Keyword Hits: в этом случае любые конкретные ключевые слова можно найти в образе диска. Поиск может осуществляться по:

  • точному совпадению
  • электронным письмам
  • регулярным выражениям и т. д.

Вы можете просмотреть доступные адреса электронной почты.

Вы можете выбрать экспорт в формат CSV.

Timeline

С помощью данной функции можно получить информацию об использовании системы в формах:



Discovery

Эта опция позволяет находить носители с помощью различных фильтров, которые присутствуют в образе диска.

По выбранным параметрам можно получить желаемый результат.

Изображения/Видео

Этот вариант предназначен для поиска изображений и видео с помощью различных параметров и нескольких категорий.

Тегирование

Тегирование используется для:

  • создания закладок
  • отслеживания
  • пометки любого примечательного элемента и т. д.

Теперь, когда видны параметры тегов, становится ясно, что файлы были помечены по различным категориям.

Создание отчетов

После завершения расследования эксперт может составить отчет в различных форматах по своему усмотрению.

Отметьте источник данных, отчет по которому необходимо создать.

Здесь мы выбрали создание отчета в формате HTML.

Источник

Инструменты Kali Linux

Список инструментов для тестирования на проникновение и их описание

Autopsy

Описание Autopsy

Autopsy — это платформа цифровой криминалистики и графический интерфейс для Sleuth Kit и других цифровых криминалистических инструментов. Она используется правоохранительными органами, военными и корпоративными экспертами для расследования происшедшего на компьютерах. Обычные пользователи могут использовать её, например, для восстановления фотографий с цифровой карты памяти камеры.

Читайте также:  Домашняя бухгалтерия для линукса

Autopsy была создана чтобы быть интуитивно понятной из коробки. Установка проста и мастер проведёт вас по всем шагам.

Расширяемая

Autopsy была создана быть самодостаточной платформой с модулями, которые поставляются из коробки и доступны из сторонних источников. Некоторые из этих модулей обеспечивают:

  • Timeline Analysis (анализ активности по времени) — Продвинутый интерфейс графического представления активности в исследуемой системе.
  • Hash Filtering (фильтрация по хешам) — Помечает файлы, про которые известно, что они плохие, и игнорирует хорошие файлы.
  • Keyword Search (поиск по ключевым словам) — Индексируемый поиск по ключевым словам для поиска файлов, которые упоминают релевантные термины.
  • Web Artifacts (веб артефакты) — Извлекает историю, закладки и кукиз из Firefox, Chrome и IE.
  • Data Carving (выскабливание данных) — Восстановление удалённых файлов из не распределённого пространства с использованием PhotoRec
  • Multimedia (мультимедиа) — Извлекает EXIF из картинок и просмотр видео.
  • Indicators of Compromise (индикаторы компрометации) — Сканирует компьютер с использованием STIX.

Быстрота

Все хотят результаты ещё вчера. Autopsy запускает фоновые задачи параллельно, используя множество ядер и выводит результаты сразу после их обнаружения. На полное изучение диска могут уйти часы, но уже через минуты, если ваши ключевые слова были найдены в пользовательской домашней папки, вы об этом узнаете.

Рентабельная

Autopsy бесплатна. Если бюджет урезают, без экономически эффективных цифровых криминалистических инструментов не обойтись. Autopsy предлагает те же основные функции, что и другие инструменты для цифровой криминалистики, а также предлагает другие основные функции, такие как анализ веб артефактов и анализ регистра, которые отсутствуют в других коммерческих инструментах.

Ниже список возможностей Autopsy:

  • Многопользовательские кейсы: Сотрудничайте с другими коллегами по исследованию в больших кейсах.
  • Анализ активности по времени: Показ системных событий в графическом интерфейсе для помощи в идентификации активности.
  • Поиск по ключевым словам: Извлечение текста и модули индексного поиска дают вам возможность найти файлы, которые упоминают специфические термины и осуществлять поиск по паттернам регулярных выражений.
  • Веб артефакты: Извлечение веб активности из популярных браузеров для помощи в идентификации пользовательской активности.
  • Анализ реестра: Используется RegRipper для идентификации доступа к последним документам и USB устройствам.
  • Анализ файлов LNK: Определяет ярлыки и открытые документы.
  • Анализ электронной почты: Разбор сообщений в формате MBOX, таким как Thunderbird.
  • EXIF: Извлекает информацию о геолокации и камере из файлов JPEG.
  • Сортировка по типам файлов: Группировка файлов по их типу для поиска всех изображений или документов.
  • Воспроизведение медиа: Просматривайте видео и изображений в приложении, внешний просмотрщик не требуется.
  • Просмотр миниатюр: Отображает миниатюры изображений для помощи в быстром обзоре картинок.
  • Надёжный анализ файловой системы: Поддержка популярных файловых систем, включая NTFS, FAT12/FAT16/FAT32/ExFAT, HFS+, ISO9660 (CD-ROM), Ext2/Ext3/Ext4, Yaffs2 и UFS из The Sleuth Kit.
  • Фильтрация файлов по хешам: Отфильтровывание хорошо известных файлов с использованием NSRL и пометка плохих файлов, используя пользовательские наборе хешей в форматах HashKeeper, md5sum и EnCase.
  • Тэги: Помечайте файлы тэгами, с произвольными именами тэгов, такими как «закладки», «подозрительные» и добавляйте комментарии.
  • Извлечение строк Unicode: Извлекайте строки из не распределённых областей и неизвестных типов файлов на многих языках (арабском, китайском, японском и т. д.).
  • Определение типа файла на основе сигнатур и выявление несоответствия расширения файла его содержимому.
  • Модуль интересных файлов пометит файлы и папки, основываясь на имени и пути.
  • Поддержка Android: Извлечение данных из SMS, журнала звонков, контактов, Tango, Words with Friends и других.
Читайте также:  Linux undefined reference to std cout

Форматы ввода

Autopsy анализирует образы дисков, локальные диски или папки с локальными файлами. Образы дисков могут быть как в сыром/dd, так и в E01 формате. Поддержка E01 обеспечивается libewf.

Составление отчётов

Autopsy — имеет расширяемую инфраструктуру отчётности, которая позволяет создавать исследователям дополнительные типы отчётов. Пол умолчанию доступны отчёты в файлах HTML, XLS и Body. Каждый настраивается в зависимости от информации, которую вы хотели бы включить в отчёт:

HTML и Excel: HTML и Excel отчёты предназначены для полностью упакованных и разделённых отчётов. Они могут включать ссылки на файлы с тэгами, а также вставленные комментарии и пометки исследователей, а также другие автоматические поиски, которые выполняет Autopsy во время анализа. Сюда относятся закладки, веб история, недавние документы, встреченные ключевые слова, встреченные совпадения с хешами, установленные программы, подключённые устройства, кукиз, загрузки и поисковые запросы

Файл Body: В основном для использования с анализом активности по времени, этот файл будет включать временные метки MAC (последняя модификация или запись, доступ или изменение) для каждого файла в формате XML для импорта внешними инструментами, такими как mactime в Sleuth Kit.

Следователи могут сгенерировать более чем один отчёт за раз, а также редактировать существующие или создавать новые модули для настройки поведения под их специфичные потребности.

Источник

Оцените статью
© 2024 Советы по настройке компьютера