Documentation utilisateur Autopsy  4.19.1
Plateforme de criminalistique numérique graphique pour The Sleuth Kit et autres outils.
Data Sources (Sources de données)

Table des matières

Une source de données est ce que vous souhaitez analyser. Il peut s'agir d'une image disque, de certains fichiers logiques, d'un disque local, etc... Vous devez ouvrir un cas avant d'ajouter une source de données à Autopsy.

Autopsy prend en charge plusieurs types de sources de données:

Ajouter une source de données

Vous pouvez ajouter une source de données de plusieurs manières:

La source de données doit rester accessible pendant toute la durée de l'analyse car le cas contient une référence à la source de données. Il ne copie pas la source de données dans le dossier de cas.

Quel que soit le type de source de données, le processus comporte certaines étapes courantes:

  1. Vous choisirez l'hôte de la source de données que vous allez ajouter. Voir la page Hôtes pour plus d'informations sur les hôtes.

    data_source_host_select.png

    Il existe trois options:

    • Generate new host based on data source name - cela créera typiquement un hôte avec un nom similaire à votre source de données avec l'ID utilisé dans la base de données ajouté pour l'unicité.
    • Specify new host name - cela vous permet de saisir un nom d'hôte.
    • Use existing host - cela vous permet de choisir un nom d'hôte déjà utilisé dans le cas actuel.

  2. Vous sélectionnerez le type de source de données.

    select-data-source-type.PNG

  3. Vous serez invité à spécifier la source de données à ajouter. Cet écran varie en fonction du type de source de données. Les détails sur l'ajout de chaque type de source de données sont fournis ci-dessous.

    REMARQUE: Si vous ajoutez une source de données à un cas multi-utilisateur, assurez-vous que tous les clients Autopsy auront accès à la source de données sur le même chemin. Nous vous recommandons d'utiliser des chemins UNC pour garantir un mappage cohérent.

  4. Ensuite, vous serez invité à activer une liste de modules d'acquisition. Si un ou plusieurs profils d'acquisition ont été enregistrés, il y aura un écran avant cela vous demandant s'il faut utiliser l'un des profils enregistrés ou effectuer une configuration personnalisée. Voir Ingest Modules (Modules d'acquisition) pour plus d'informations sur la configuration des profils d'acquisition.

    select-ingest-modules.PNG

  5. Vous devrez attendre qu'Autopsy effectue un examen de base de la source de données et remplit la base de données intégrée avec une entrée pour chaque fichier de la source de données.

    data-source-progress-bar.PNG

  6. Une fois l'examen de base de la source de données terminé, les modules d'acquisition seront probablement toujours en cours d'exécution, mais vous pouvez commencer à parcourir les fichiers de votre source de données.

Les sources de données peuvent être supprimées des cas créés avec Autopsy 4.14.0 et versions ultérieures. Voir la section ci-dessous.

Ajout d'une image disque

Autopsy prend en charge les images disque dans les formats suivants:

data_source_disk_image.png

Pour ajouter une image disque:

  1. Choisissez "Disk Image or VM File" parmi les types de source de données.
  2. Accédez au premier fichier de l'image disque. Vous devez spécifier uniquement le premier fichier et Autopsy trouvera le reste.
  3. Choisissez d'effectuer la recherche de fichiers orphelins sur les systèmes de fichiers FAT. Cela peut prendre beaucoup de temps, car il faudra qu'Autopsy examine chaque secteur de l'appareil.
  4. Choisissez le fuseau horaire d'où provient l'image disque. Ceci est le plus important lors de l'ajout de systèmes de fichiers FAT car ils ne stockent pas les informations de fuseau horaire et Autopsy ne saura pas comment se normaliser en UTC.
  5. Choisissez éventuellement la taille du secteur. Le mode de détection automatique fonctionnera correctement sur la majorité des images, mais si l'ajout de la source de données échoue, vous souhaiterez peut-être essayer les autres tailles de secteur.
  6. Entrez éventuellement un ou plusieurs hachages pour l'image. Ceux-ci seront enregistrés dans les métadonnées de l'image et pourront être vérifiés à l'aide du module Data Source Integrity (Intégrité de la source de données).

Ajout d'un disque local

Autopsy peut analyser un disque local sans avoir besoin d'en faire d'abord une image. Ceci est très utile lors de l'analyse d'un périphérique USB via un bloqueur en écriture.

Notez que si vous analysez un disque local en cours de mise à jour, Autopsy ne verra pas les fichiers ajoutés après l'avoir ajouté en tant que source de données.

Vous devrez exécuter Autopsy en tant qu'administrateur pour afficher tous les appareils.

Il existe une option pour faire une copie du disque local en tant que disque dur virtuel pendant l'analyse. Ce VHD peut être chargé dans Windows ou analysé par Autopsy. Il existe une option supplémentaire pour mettre à jour le chemin de l'image dans la base de données de cas vers ce fichier nouvellement créé. L'activation de cette option vous permettra de parcourir les données de cas normalement, même après la suppression du disque local. Notez qu'au moins un module d'acquisition doit être exécuté avec succès pour générer la copie d'image complète.

local-disk-data-source.PNG

Pour ajouter un lecteur local:

  1. Choisissez "Local Disk" parmi les types de source de données.
  2. Utilisez le bouton "Select Disk" pour ouvrir une boîte de dialogue affichant les disques locaux. Le chargement peut prendre une minute. Sélectionnez ensuite l'appareil dans la liste.
  3. Choisissez d'effectuer la recherche de fichiers orphelins. Voir le commentaire dans Ajout d'une image disque à propos de ce paramètre.
  4. Choisissez de créer une copie VHD du disque local et de mettre à jour le chemin de l'image.
  5. Choisissez éventuellement la taille du secteur. Le mode de détection automatique fonctionnera correctement sur la majorité des images, mais si l'ajout de la source de données échoue, vous souhaiterez peut-être essayer les autres tailles de secteur.

Ajout d'un fichier logique

Vous pouvez ajouter des fichiers ou des dossiers qui se trouvent sur votre ordinateur local (ou sur un lecteur partagé) sans les placer dans une image disque. Ceci est utile si vous ne disposez que d'une collection de fichiers que vous souhaitez analyser.

Quelques points à noter lors de cette opération:

change_logical_file_set_display_name.PNG

Pour ajouter des fichiers logiques:

  1. Choisissez "Logical Files" parmi les types de source de données.
  2. Laissez la liste déroulante du haut sur "Local files and folders"
  3. Cliquez sur le bouton "Add" et accédez au dossier ou fichier à ajouter. Le choix d'un dossier entraînera l'ajout de tout son contenu (y compris les sous-dossiers).
  4. Continuez de cliquer sur "Add" jusqu'à ce que tous les fichiers et dossiers aient été sélectionnés.

Tous les fichiers que vous avez ajoutés dans le panneau seront regroupés dans une seule source de données, appelée "LogicalFileSet" dans l'interface utilisateur principale.

La prise en charge limitée des fichiers de preuves logiques (L01) est également possible. Pour en ajouter un comme source de données, sélectionnez "Logical evidence file (L01)" dans la liste déroulante du haut, puis accédez à votre fichier.

Ajout d'un fichier image d'espace non alloué

unallocated_space_options.PNG

Pour ajouter des fichiers image d'espace non alloué:

  1. Choisissez "Unallocated Space Image File" parmi les types de source de données.
  2. Accédez au fichier.
  3. Choisissez de diviser l'image en morceaux. Le fractionnement de l'image donnera de meilleures performances car les blocs peuvent être traités en parallèle, mais il est possible que des mots-clés ou des résidus de fichiers qui dépassent les limites des blocs soient manquants.

Ajout d'un résultat du "Logical Imager" (imageur logique) d'Autopsy

Cette option vous permet d'ajouter les résultats d'une collecte de l'imageur logique. Voir la page Imageur logique pour plus de détails.

Ajout de données d'exportation de texte XRY

Un dossier d'exportation de fichiers texte XRY devrait ressembler à ceci:

xry_folder.png

Pour ajouter des fichiers texte exportés:

  1. Choisissez "XRY Text Export" parmi les types de source de données.
  2. Naviguez jusqu'au dossier contenant les fichiers texte.
xry_dsp.png

Suppression de sources de données

Depuis Autopsy 4.14.0, les sources de données peuvent être supprimées des cas. La suppression d'une source de données supprimera tous les fichiers associés à celle-ci, ainsi que tous les résultats de l'exécution des modules d'acquisition, les marquages et les données de chronologie. Les rapports ne seront pas supprimés, car la plupart ne sont pas associés à une source de données spécifique. Si une nouvelle source de données a été créée lors du traitement d'une source de données initiale (par le module Virtual Machine Extractor (Extracteur de machine virtuelle) par exemple), cette nouvelle source de données sera également supprimée si son parent est supprimé.

Pour supprimer une source de données, faites un clic-droit sur celle-ci dans l'Arborescence ou la Visionneuse de résultats et sélectionnez "Remove Data Source". Si le cas a été créé à l'origine avec une version d'Autopsy antérieure à 4.14.0, cette option sera désactivée. Après une boîte de dialogue de confirmation, le cas se fermera puis se rouvrira une fois la source de données supprimée.

data_source_delete.png

Copyright © 2012-2021 Basis Technology. Généré le Mardi 27 Juin 2023
Cette documentation est sous licence Creative Commons Attribution-Share Alike 3.0 United States License.