Documentation utilisateur Autopsy
4.19.1
Plateforme de criminalistique numérique graphique pour The Sleuth Kit et autres outils.
|
Une source de données est ce que vous souhaitez analyser. Il peut s'agir d'une image disque, de certains fichiers logiques, d'un disque local, etc... Vous devez ouvrir un cas avant d'ajouter une source de données à Autopsy.
Autopsy prend en charge plusieurs types de sources de données:
Vous pouvez ajouter une source de données de plusieurs manières:
La source de données doit rester accessible pendant toute la durée de l'analyse car le cas contient une référence à la source de données. Il ne copie pas la source de données dans le dossier de cas.
Quel que soit le type de source de données, le processus comporte certaines étapes courantes:
Vous choisirez l'hôte de la source de données que vous allez ajouter. Voir la page Hôtes pour plus d'informations sur les hôtes.
Il existe trois options:
Vous sélectionnerez le type de source de données.
Vous serez invité à spécifier la source de données à ajouter. Cet écran varie en fonction du type de source de données. Les détails sur l'ajout de chaque type de source de données sont fournis ci-dessous.
REMARQUE: Si vous ajoutez une source de données à un cas multi-utilisateur, assurez-vous que tous les clients Autopsy auront accès à la source de données sur le même chemin. Nous vous recommandons d'utiliser des chemins UNC pour garantir un mappage cohérent.
Ensuite, vous serez invité à activer une liste de modules d'acquisition. Si un ou plusieurs profils d'acquisition ont été enregistrés, il y aura un écran avant cela vous demandant s'il faut utiliser l'un des profils enregistrés ou effectuer une configuration personnalisée. Voir Ingest Modules (Modules d'acquisition) pour plus d'informations sur la configuration des profils d'acquisition.
Vous devrez attendre qu'Autopsy effectue un examen de base de la source de données et remplit la base de données intégrée avec une entrée pour chaque fichier de la source de données.
Les sources de données peuvent être supprimées des cas créés avec Autopsy 4.14.0 et versions ultérieures. Voir la section ci-dessous.
Autopsy prend en charge les images disque dans les formats suivants:
Pour ajouter une image disque:
Autopsy peut analyser un disque local sans avoir besoin d'en faire d'abord une image. Ceci est très utile lors de l'analyse d'un périphérique USB via un bloqueur en écriture.
Notez que si vous analysez un disque local en cours de mise à jour, Autopsy ne verra pas les fichiers ajoutés après l'avoir ajouté en tant que source de données.
Vous devrez exécuter Autopsy en tant qu'administrateur pour afficher tous les appareils.
Il existe une option pour faire une copie du disque local en tant que disque dur virtuel pendant l'analyse. Ce VHD peut être chargé dans Windows ou analysé par Autopsy. Il existe une option supplémentaire pour mettre à jour le chemin de l'image dans la base de données de cas vers ce fichier nouvellement créé. L'activation de cette option vous permettra de parcourir les données de cas normalement, même après la suppression du disque local. Notez qu'au moins un module d'acquisition doit être exécuté avec succès pour générer la copie d'image complète.
Pour ajouter un lecteur local:
Vous pouvez ajouter des fichiers ou des dossiers qui se trouvent sur votre ordinateur local (ou sur un lecteur partagé) sans les placer dans une image disque. Ceci est utile si vous ne disposez que d'une collection de fichiers que vous souhaitez analyser.
Quelques points à noter lors de cette opération:
Pour ajouter des fichiers logiques:
Tous les fichiers que vous avez ajoutés dans le panneau seront regroupés dans une seule source de données, appelée "LogicalFileSet" dans l'interface utilisateur principale.
La prise en charge limitée des fichiers de preuves logiques (L01) est également possible. Pour en ajouter un comme source de données, sélectionnez "Logical evidence file (L01)" dans la liste déroulante du haut, puis accédez à votre fichier.
Pour ajouter des fichiers image d'espace non alloué:
Cette option vous permet d'ajouter les résultats d'une collecte de l'imageur logique. Voir la page Imageur logique pour plus de détails.
Un dossier d'exportation de fichiers texte XRY devrait ressembler à ceci:
Pour ajouter des fichiers texte exportés:
Depuis Autopsy 4.14.0, les sources de données peuvent être supprimées des cas. La suppression d'une source de données supprimera tous les fichiers associés à celle-ci, ainsi que tous les résultats de l'exécution des modules d'acquisition, les marquages et les données de chronologie. Les rapports ne seront pas supprimés, car la plupart ne sont pas associés à une source de données spécifique. Si une nouvelle source de données a été créée lors du traitement d'une source de données initiale (par le module Virtual Machine Extractor (Extracteur de machine virtuelle) par exemple), cette nouvelle source de données sera également supprimée si son parent est supprimé.
Pour supprimer une source de données, faites un clic-droit sur celle-ci dans l'Arborescence ou la Visionneuse de résultats et sélectionnez "Remove Data Source". Si le cas a été créé à l'origine avec une version d'Autopsy antérieure à 4.14.0, cette option sera désactivée. Après une boîte de dialogue de confirmation, le cas se fermera puis se rouvrira une fois la source de données supprimée.
Copyright © 2012-2021 Basis Technology. Généré le Mardi 27 Juin 2023
Cette documentation est sous licence
Creative Commons Attribution-Share Alike 3.0 United States License.