Documentation utilisateur Autopsy
4.19.1
Plateforme de criminalistique numérique graphique pour The Sleuth Kit et autres outils.
|
Le module "Data Source Integrity" a deux objectifs:
Si vous souhaitez vérifier les hachages, la première étape consiste à entrer des hachages pour votre image disque (sauf si vous avez un fichier E01 - le hachage est inclus dans la source de données). Vous pouvez le faire dans l'assistant "Add Data Source" dans lequel vous sélectionnez votre image disque.
Vous pouvez saisir n'importe quelle combinaison de hachages à vérifier.
Vous devrez ensuite configurer le module d'acquisition.
Notez qu'il s'agit simplement d'activer un comportement ou les deux, non pas choisir celui à exécuter (calculer ou vérifier). Cela est déterminé uniquement par le fait que la source de données a des hachages associés. Décocher les deux cases mais laisser le module activé entraînera une erreur lors du démarrage du module d'acquisition.
Au terme du calcul, si la vérification réussit, vous verrez un message dans boîte de notification vous le confirmant. Si vous ouvrez ce message, vous verrez les valeurs de hachage stockées et calculées.
Si la vérification échoue, vous verrez un message dans boîte de notification en jaune et le même message dans une info bulle d'avertissement.
Les messages de la boîte de notification disparaîtront une fois le cas fermé, le module ajoute donc également au cas un artefact "Verification Failed" ("Échec de la vérification").
Pour afficher les hachages calculés, sélectionnez "Data Sources" dans l'arborescence, sélectionnez votre source de données dans la visionneuse de résultats, puis ouvrez l'onglet "File Metadata". Si vous êtes en mode "Group by data source" (voir Options d'affichage), selectionnez "Data Source Files" sous la source de données que vous souhaitez examiner.
Copyright © 2012-2021 Basis Technology. Généré le Mardi 27 Juin 2023
Cette documentation est sous licence
Creative Commons Attribution-Share Alike 3.0 United States License.