Documentation utilisateur Autopsy
4.19.1
Plateforme de criminalistique numérique graphique pour The Sleuth Kit et autres outils.
|
L'outil "Discovery" affiche des images, des vidéos, des documents ou des domaines qui correspondent à un ensemble de filtres configurés par l'utilisateur. Vous pouvez choisir comment regrouper et classer vos résultats afin de voir d'abord les données les plus pertinentes.
Nous vous suggérons d'exécuter tous les modules d'acquisition avant de lancer l'outil de découverte, mais si le temps est un facteur déterminant pour vous, les modules suivants sont les plus importants. Vous verrez un avertissement si vous ouvrez l'outil de découverte sans exécuter les modules File Type Identification (Identification du type de fichier), Hash Lookup (Recherche de hachage), et Picture Analyzer (Analyseur d’images).
Modules d'acquisition requis:
Modules d'acquisition facultatifs:
Pour lancer l'outil de découverte, cliquez sur l'icône "Discovery" en haut de l'interface utilisateur d'Autopsy ou allez dans "Tools", "Discovery". Il y a trois étapes lors de la configuration de cet outil, qui vont du haut du panneau vers le bas:
Une fois que tout est configuré, utilisez le bouton "Search" en bas à droite pour afficher vos résultats.
La première étape consiste à choisir si vous souhaitez afficher des images, des vidéos, des documents ou des domaines. Les trois premiers (images, videos et documents) renverront les résultats des fichiers du type donné. Le type de fichier est déterminé par le type MIME du fichier, c'est pourquoi le module File Type Identification (Identification du type de fichier) doit être exécutée pour voir les résultats. Le basculement entre les types de résultats réinitialisera les filtres.
La deuxième étape consiste à sélectionner et configurer vos filtres. Les filtres disponibles varient en fonction du type de résultat. Pour la plupart des filtres, activez-les à l'aide de la case à cocher sur la gauche, puis cochez les cases à côté des options que vous souhaitez activer. Les boutons "Check All" et "Uncheck All" peuvent être utilisés pour cocher ou décocher toutes les options de la liste. Les résultats doivent passer tous les filtres activés pour être affichés.
Le filtre "File Size" vous permet de restreindre la quantité de résultats. Les options sont différentes en fonction des différents types de fichiers - une très petite image peut faire moins de 16 Ko tandis qu'une très petite vidéo fait moins de 500 Ko.
Le filtre "Data Source" vous permet de restreindre les sources de données de votre cas à inclure dans les résultats.
Le filtre "Past Occurrences" utilise le référentiel central et le module de recherche d'ensembles de hachage connus (pour les recherches de type de fichier) afin de fixer à quel point une entrée doit être considérée comme commune/rare pour être incluse dans les résultats. Pour les recherches de type de fichier, l'option "Known (NSRL)" est désactivée par défaut, ce qui signifie que tout fichier correspondant au NSRL ou à une autre "liste blanche" de hachage ne sera pas affiché.
Les décomptes pour les autres options sont basés sur le nombre de sources de données dans votre référentiel central contenant une copie de ce fichier (basé sur le hachage) ou de ce domaine. Si un résultat n'apparaît que dans la source de données du cas actuel, il correspondra à "Unique (1)". S'il n'a été vu que dans quelques autres sources de données, il correspondra à "Rare (2-10)". Notez que peu importe le nombre de fois où un résultat apparaît dans chaque source de données - un résultat peut avoir vingt copies dans une source de données et être toujours "unique".
Le filtre "Possibly User Created" limite les résultats aux fichiers soupçonnés d'être des images ou des vidéos brutes.
Cela signifie que le fichier doit être associé à un résultat "User Content Suspected". Ceux-ci proviennent principalement du module Picture Analyzer (Analyseur d’images).
Le filtre "Hash Set" restreint les résultats aux fichiers trouvés dans les ensembles de hachage sélectionnés. Seuls les ensembles de hachage notables qui ont des hits dans le cas actuel sont répertoriés. Voir la page Hash Lookup (Recherche de hachage) pour plus d'informations sur la création et l'utilisation d'ensembles de hachage.
Le filtre "Interesting Item" restreint les résultats aux fichiers trouvés dans les ensembles de règles d'éléments intéressants sélectionnés. Seuls les ensembles de règles de fichiers intéressants qui ont des résultats dans le cas actuel sont répertoriés. Voir la page Interesting Files Identifier (Identifiant de fichiers intéressant) pour plus d'informations sur la création et l'utilisation d'ensembles de règles d'éléments intéressants.
Le filtre "Object Detected" restreint les résultats aux fichiers correspondant aux classificateurs sélectionnés. Seuls les classificateurs qui ont des résultats dans le cas actuel sont répertoriés. Notez qu'actuellement, la module d'acquisition intégré Object Detection (Détection d'objets) ne fonctionne que sur les images, vous ne devez donc généralement pas utiliser ce filtre avec des vidéos. Voir la page Object Detection (Détection d'objets) pour plus d'informations sur la configuration des classificateurs.
Le filtre "Parent Folder" restreint le chemin sur lequel les fichiers peuvent se trouver. Ce filtre fonctionne différemment des autres en ce que les options individuelles n'ont pas à être sélectionnées - chaque règle qui a été entrée sera appliquée.
Vous pouvez entrer les chemins à inclure ("Include") et les chemins à ignorer ("Exclude"). Pour les deux, spécifiez ensuite si le chemin d'accès que vous avez entré est un chemin complet ("Full") ou un sous-chemin ("Substring"). Pour les correspondances de chemin complet, vous devrez inclure les barres obliques de début et de fin. Les correspondances de chemin complet sont également sensibles à la casse.
Les options par défaut, illustrées ci-dessus, excluront tout fichier contenant un dossier "Windows" ou un dossier "Program Files" dans son chemin. Cela exclurait des fichiers comme "/Windows/System32/image1.jpg" mais n'exclurait pas "/Mes Images/Bay Windows/image2.jpg" parce que les barres obliques autour de "Windows" forcent la correspondance avec le nom exact du dossier.
Voici un autre exemple. Cette règle a été créée avec "Full" et "Include" sélectionnés.
Cela correspond au fichier "/LogicalFileSet2/File Discovery/bird1.tif" mais aucune image située dans les sous-dossiers de "File Discovery".
Lorsqu'il y a plusieurs options de chemin dans le filtre, elles seront appliquées comme suit:
Cela vous permet, par exemple, de créer des règles pour inclure à la fois les dossiers "Mes documents" et "Mes images".
Le filtre "Previously Notable" sert pour les recherches de domaines uniquement et est utilisé pour limiter les résultats aux seuls domaines qui ont déjà été marqués comme "Notable" dans le Référentiel central.
Le filtre "Known Account Type" sert pour les recherches de domaines uniquement et est utilisé pour limiter les résultats aux seuls domaines qui ont un type de compte connu.
Le filtre "Result Type" sert pour les recherches de domaines uniquement et peut être utilisé pour restreindre les types de résultats Web dont les domaines peuvent provenir.
Le filtre "Date" sert pour les recherches de domaines uniquement et limite la recherche aux domaines qui ont été accédés dans un laps de temps donné. Cette période peut être soit les N derniers jours (par rapport à la date actuelle), soit entre une date de début et/ou de fin spécifique.
Les dernières options concernent la manière dont vous souhaitez regrouper et trier vos résultats.
La première option vous permet de choisir le regroupement de niveau supérieur pour vos résultats et la deuxième option vous permet de choisir comment les trier. Les groupes apparaissent dans la colonne de gauche de la fenêtre de résultats. Notez que certaines des options de regroupement peuvent ne pas toujours apparaître - par exemple, le regroupement par occurrences passées ne sera présent que si le Référentiel central est activé, et le regroupement par jeu de hachage ne sera présent que s'il y a des hits de jeux de hachage dans votre cas actuel. L'exemple ci-dessous montre les groupes créés à l'aide des options par défaut (recherche d'images, regrouper par taille de fichier, classer les groupes par nom de groupe):
Dans le cas de la taille du fichier et des occurrences passées, le classement par nom de groupe est basé sur l'ordre naturel du groupe (du plus grand au plus petit ou du plus rare au plus courant). Pour les autres groupes, ce sera par ordre alphabétique. Le classement des groupes par taille les triera en fonction du nombre de fichiers que contient chaque groupe, du plus grand au plus petit. Par exemple, ici, nous avons regroupé par ensemble d'éléments intéressants et avons ordonné les groupes en fonction de leur taille.
Le filtre des éléments intéressants n'était pas activé, donc la plupart des images se sont retrouvées dans le groupe "None", ce qui signifie qu'elles ne sont associées à aucun résultat de fichier intéressant. Le dernier groupe de la liste contient un fichier correspondant à deux ensembles de règles d'éléments intéressants.
La dernière option de regroupement et de tri consiste à choisir comment trier les résultats au sein d'un groupe. Il s'agit de l'ordre des résultats sur le côté droit de la fenêtre de résultats après avoir sélectionné un groupe dans la colonne de gauche. Notez qu'en raison de la fusion des résultats ayant le même hachage dans ce panneau, le classement par nom de fichier, chemin ou source de données peut varier. Voir la section Déduplication ci-dessous pour plus d'informations.
Une fois que vous aurez sélectionné vos options et cliqué sur "Search", vous verrez une nouvelle fenêtre avec la liste des groupes sur le côté gauche. La sélection de l'un de ces groupes affichera les résultats de ce groupe sur le côté droit. La sélection d'un résultat fera apparaître un panneau affichant plus de détails sur chaque instance de ce résultat. Vous pouvez soulever et abaisser manuellement ce panneau à l'aide des grandes flèches sur le côté droit du séparateur.
Si vos résultats sont des images, vous verrez des miniatures pour chaque image dans la zone supérieure du panneau de droite.
Si vos résultats sont des vidéos, chaque résultat affichera quatre vignettes de la vidéo.
Si vos résultats sont des documents, vous verrez une partie du texte du document. Si le module Embedded File Extractor (Extraction de fichiers intégrés) a trouvé des images dans le document, vous verrez une vignette de la plus grande d'entre elles affichée sur le côté droit avec un décompte du nombre d'images extraites du document.
Si vos résultats sont des domaines, vous verrez des informations sur chaque domaine. Si une image est associée à ce domaine, elle sera affichée à droite.
Pour les recherches d'images, de vidéos et de documents, lorsque vous sélectionnez un résultat en haut du panneau de droite, vous verrez le chemin d'accès au(x) fichier(s) correspondant(s) dans le panneau "Instances" sous les miniatures. Il peut y avoir plus d'une instance de fichier associée à un résultat - voir la section Déduplication ci-dessous. Vous pouvez cliquer avec le bouton droit sur les fichiers dans le panneau des instances pour utiliser la plupart des options disponibles dans la Visionneuse de résultats.
La partie inférieure du panneau est identique à la Visionneuse de contenu standard et affiche les données qui correspondent à l'instance du fichier sélectionné dans le milieu du panneau.
Pour les recherches de domaines, lorsque vous sélectionnez un domaine en haut du panneau de droite, vous verrez une zone de détails qui est une variante de la Visionneuse de contenu. Le premier onglet de cette zone de détails affiche une chronologie ("Timeline") simple - la sélection d'une date affichera tous les résultats de cette date au centre du panneau, avec les détails du résultat sélectionné sur la droite. Les autres onglets (Web Bookmarks, Web Cookies, etc...) afficheront les résultats du type sélectionné avec une liste de résultats à gauche et plus de détails à droite. Vous pouvez cliquer avec le bouton droit sur les résultats pour utiliser la plupart des options disponibles dans la Visionneuse de résultats.
Cette section s'applique uniquement aux recherches d'images, de vidéos et de documents.
En supposant que le module Hash Lookup (Recherche de hachage) ait été exécuté, tous les fichiers d'un groupe de résultats avec le même hachage seront fusionnés sous une seule instance. Le chemin du fichier vers l'une des instances sera affiché avec une note telle que "and 1 more" (et 1 de plus) indiquant le nombre de doublons trouvés. La sélection du fichier affichera chaque instance dans la section centrale du panneau.
Cliquer sur une instance particulière chargera les données de ce fichier dans la zone de visualisation de contenu en bas.
Notez que les fichiers de différents groupes ne seront pas fusionnés ou n'apparaîtront pas dans la liste des instances les uns des autres. Par exemple, si vous choisissez de regrouper par dossier parent et que vous avez deux instances d'un fichier avec le même hachage mais dans des dossiers différents, chacune apparaîtra une fois dans son dossier parent. Le regroupement par taille de fichier (par défaut) fusionnera toujours chaque instance du même fichier.
Cette section s'applique uniquement aux recherches d'images, de vidéos et de documents.
Un certain nombre d'icônes peuvent être affichées en bas à droite des vignettes pour aider à souligner les résultats notables. Le survol de l'icône affichera un message expliquant pourquoi l'icône est présente. Dans l'image ci-dessous, l'icône jaune est présente car le fichier est associé à un ensemble d'éléments intéressant.
La plupart des icônes correspondent à ce qui serait affiché dans la colonne "S" de la Visionneuse de résultats normale.
Icône | Usage |
---|---|
Correspondance avec un jeu de fichiers intéressants ou un marquage de fichier normal | |
Correspondance avec un jeu de hachage notable ou un marquage de fichier notable | |
Fichier supprimé (chaque instance est supprimée) |
Si le groupe que vous sélectionnez a de nombreux résultats, les résultats seront divisés en pages. Vous pouvez utiliser les flèches gauche et droite pour vous déplacer entre les pages ou saisir le numéro de page à laquelle vous souhaitez accéder. Vous pouvez ajuster le nombre de résultats par page à l'aide de la liste déroulante en haut à droite.
Copyright © 2012-2021 Basis Technology. Généré le Mardi 27 Juin 2023
Cette documentation est sous licence
Creative Commons Attribution-Share Alike 3.0 United States License.