Documentation utilisateur Autopsy
4.19.1
Plateforme de criminalistique numérique graphique pour The Sleuth Kit et autres outils.
|
Le module "Hash Lookup" calcule les valeurs de hachage MD5 pour les fichiers et recherche ces valeurs de hachage dans une base de données pour déterminer si le fichier est notable, connu (en général), inclus dans un ensemble spécifique de fichiers ou inconnu. Les hachages SHA-256 sont également calculés, bien qu'ils ne soient pas utilisés dans les recherches de jeux de hachage.
L'onglet "Hash Sets" du panneau Options vous permet de définir et de mettre à jour les informations de votre jeu de hachage. Les jeux de hachage sont utilisés pour identifier les fichiers qui sont connus ("Known"), notables ("Notable") ou sans changement ("No Change").
Pour importer un jeu de hachage existant, utilisez le bouton "Import Hash Set" du panneau d'options des jeux de hachage ("Hash Sets"). Cela fera apparaître une boîte de dialogue pour importer le fichier.
Hash Set Path - Le chemin d'accès au jeu de hachage que vous importez. Autopsy prend en charge les formats suivants:
Destination - Le champ Destination fait référence à l'endroit où le jeu de hachage sera stocké.
Name - Afficher le nom du jeu de hachage. Un nom sera suggéré en fonction du nom du fichier, mais cela peut être modifié.
Version - La version du jeu de hachage ne peut être saisie que lors de l'importation du jeu de hachage dans le référentiel central. En outre, aucune version ne peut être entrée si le jeu de hachage n'est pas en lecture seule.
Source Organization - L'organisation ne peut être saisie que lors de l'importation du jeu de hachage dans le référentiel central. Voir la section gestion des organisations pour plus d'informations.
Type of database set - Toutes les entrées de l'ensemble de hachage doivent être "Known" (peuvent être ignorées en toute sécurité), "Notables" (peuvent être des indicateurs de comportement suspect) ou "No Change" (connues pour être liées à un certain type de fichier).
Make hash set read-only - Le paramètre en lecture seule n'est actif que lors de l'importation du jeu de hachage dans le référentiel central. Une base de données en lecture seule ne peut pas avoir de nouveaux hachages ajoutés via le panneau d'options "Hash Sets" ou le menu contextuel. Pour les ensembles de hachage importés localement, la possibilité d'écrire ou non dépend du type de jeu de hachage. Les bases de données au format Autopsy (* .kdb) peuvent être modifiées, mais tous les autres types seront en lecture seule.
Send ingest inbox message for each hit - Détermine si un message est envoyé dans la boîte de notification pour chaque fichier correspondant. Cela ne peut pas être activé pour un jeu de hachage "Known".
Copy hash set into user configuration folder - Cré une copie du jeu de hachage au lieu d'utiliser celui existant. Ceci est destiné à être utilisé dans le cadre de la Création d'un lecteur de triage en direct.
Après avoir importé le jeu de hachage, vous devrez peut-être l'indexer avant de pouvoir l'utiliser. Pour la plupart des types de jeux de hachage, Autopsy a besoin d'un index de ce dernier pour l'utiliser réellement. Il peut créer l'index si vous importez uniquement le jeu de hachage. Tous les ensembles de hachage qui nécessitent un index seront affichés en rouge, et "Index Status" indiquera qu'un index doit être créé. Cela se fait simplement en utilisant le bouton "Index".
Autopsy utilise le système de gestion des jeux de hachage de The Sleuth Kit. Vous pouvez créer manuellement un index à l'aide de l'outil de ligne de commande 'hfind' ou vous pouvez utiliser Autopsy. Si vous essayez de continuer sans indexer un jeu de hachage, Autopsy vous proposera de produire automatiquement un index pour vous. Vous pouvez également spécifier uniquement le fichier d'index et ne pas utiliser le jeu de hachage complet - le fichier d'index est suffisant pour identifier les fichiers connus. Cela peut économiser de l'espace. Pour ce faire, spécifiez le fichier .idx dans le panneau d'options "Hash Sets".
De nouveaux ensembles de hachage peuvent être créés à l'aide du bouton "New Hash Set". Les champs sont pour la plupart les mêmes que dans la boîte de dialogue d'importation décrite ci-dessus.
Dans ce cas, le chemin de la base de données ("Hash Set Path") est l'endroit où la nouvelle base de données sera stockée. Si le référentiel central est utilisé, ce champ n'est pas nécessaire.
Une fois que vous avez créé un ensemble de hachage, vous devrez y ajouter des hachages. La première façon de faire est d'utiliser le bouton "Add Hashes to Hash Set" dans le panneau d'options. Chaque hachage doit être sur sa propre ligne et peut éventuellement être suivi d'une virgule puis d'un commentaire sur le fichier auquel correspond le hachage. Ici, nous créons un ensemble de hachage "No Change" correspondant aux images de chat:
L'autre façon d'ajouter une entrée à un jeu de hachage consiste à utiliser le menu contextuel. Mettez en surbrillance le fichier que vous souhaitez ajouter à un ensemble de hachage dans la visionneuse de résultats et cliquez avec le bouton droit de la souris, puis sélectionnez "Add File to Hash Set" et enfin l'ensemble auquel vous souhaitez l'ajouter. Notez que cela n'ajoute pas automatiquement le fichier à la liste des hits de l'ensemble de hachage pour le cas actuel - vous devrez réexécuter le module d'acquisition "Hash Lookup" pour le voir apparaître ici.
Il y a un module d'acquisition qui hachera les fichiers et les recherchera dans les ensembles de hachage. Il marquera les fichiers qui étaient dans le jeu de hachage comme "Notable" et ces résultats seront affichés dans la section Results de l'Arborescence. D'autres modules d'acquisition peuvent utiliser l'état "Known" d'un fichier pour décider s'ils doivent ignorer le fichier ou le traiter. Vous pouvez également voir les résultats dans la fenêtre de recherche de fichiers. Il existe une option pour choisir le "Known Status". De là, vous pouvez effectuer une recherche pour voir tous les fichiers notables ("Notable"). À partir de là, vous pouvez également choisir d'ignorer tous les fichiers connus ("Known") trouvés dans le NSRL. Vous pouvez également voir l'état du fichier dans une colonne lorsque le fichier est répertorié.
Autopsy peut utiliser le NIST NSRL pour détecter les fichiers "connus". Le NSRL contient des hachages de fichiers "connus" qui peuvent être bons ou mauvais en fonction de votre perspective et du type d'enquête. Par exemple, l'existence d'un logiciel financier peut être intéressant pour votre enquête et ce logiciel pourrait être dans le NSRL. Par conséquent, Autopsy traite les fichiers qui se trouvent dans le NSRL comme simplement "Known" (connus) et ne spécifie pas bon ou mauvais. Les modules d'acquisition ont la possibilité d'ignorer les fichiers trouvés dans le NSRL.
Pour utiliser le NSRL, vous pouvez télécharger un index pré-établi à partir de http://sourceforge.net/projects/autopsy/files/NSRL. Télécharger le fichier NSRL-XYZm-autopsy.zip (où 'XYZ' est le numéro de version. Au moment d'écrire ces lignes, c'est 270) et décompressez le. Utiliser le menu "Tools", "Options" et sélectionner l'onglet "Hash Sets". Cliquer sur "Import Database" et accédez à l'emplacement du fichier NSRL décompressé. Vous pouvez modifier le nom du jeu de hachage ("Hash Set Name") si vous le souhaitez. Sélectionnez le type de base de données souhaité, et choisissez "Send ingest inbox message for each hit" (un message est envoyé dans la boîte de notification pour chaque fichier correspondant) si vous le souhaitez, puis cliquez sur "OK".
Lorsque les ensembles de hachage sont configurés, l'utilisateur peut sélectionner quels ensembles utiliser pendant le processus d'acquisition.
Les résultats s'affichent dans l'arborescence sous "Hashset Hits", regroupés par le nom du jeu de hachage. Si les hits de l'ensemble de hachage avaient des commentaires associés, vous les verrez dans la colonne "Comment" dans la visionneuse de résultats avec le hachage du fichier.
Vous pouvez également afficher les commentaires dans l'onglet "Annotations" de la visionneuse de contenu.
Copyright © 2012-2021 Basis Technology. Généré le Mardi 27 Juin 2023
Cette documentation est sous licence
Creative Commons Attribution-Share Alike 3.0 United States License.