Documentation utilisateur Autopsy  4.19.1
Plateforme de criminalistique numérique graphique pour The Sleuth Kit et autres outils.
Interesting Files Identifier (Identifiant de fichiers intéressant)

Table des matières

Aperçu

Le module "Interesting Files Identifier" vous permet de marquer automatiquement les fichiers et répertoires qui correspondent à un ensemble de règles. Cela peut être utile si vous devez toujours vérifier si des fichiers avec un nom ou un chemin donné se trouvent dans une source de données, ou si vous êtes toujours intéressé par des fichiers ayant un certain type.

Ce module vous permet de créer des ensembles de règles qui seront exécutées sur chaque fichiers au fur et à mesure de leur traitement. Si un fichier correspond à l'une des règles, vous verrez une entrée concernant celui-ci dans l'Arborescence. Vous pouvez partager vos règles avec d'autres utilisateurs et importer des ensembles créés par d'autres dans votre copie d'Autopsy.

Terminologie

Configuration

Pour créer et modifier vos ensembles de règles, allez dans "Tools", "Options" puis sélectionnez l'onglet "Interesting Files". La zone sur le côté gauche vous montrera une liste de tous les ensembles de règles actuellement disponibles. Cela inclura les ensembles de règles officiels inclus avec Autopsy ainsi que tous les ensembles de règles que vous créez. La sélection d'un ensemble de règles affichera sa description et des informations sur chacune de ses règles sur le côté droit du panneau.

main.png

Les boutons situés en bas à gauche du panneau contrôlent les ensembles de règles.

Notez que les ensembles de règles prédéfinis ne peuvent pas être supprimés ou modifiés. Si vous pensez à des ajouts qui seraient utiles pour la communauté, consultez la page Mise à jour des ensembles officiels de fichiers intéressants pour obtenir les instructions pour soumettre des mises à jour.

La sélection d'un ensemble de règles affichera sa description, s'il ignore les fichiers connus et les règles contenues dans l'ensemble. La sélection d'une règle affichera les conditions de cette règle dans la section "Rule Details".

Les boutons sous la liste des règles vous permettent de créer de nouvelles règles et de modifier ou supprimer des règles existantes. Sélectionner "New Rule" fera apparaître une nouvelle fenêtre pour créer une règle.

new_rule.png

La ligne du haut vous permet de choisir si vous voulez faire correspondre uniquement des fichiers ("Files"), uniquement des répertoires ("Directories") ou les deux ("All"). Si vous sélectionnez des répertoires ou les deux, certains types de conditions ne seront pas disponibles car ils ne s'appliquent qu'aux fichiers.

Chaque règle doit avoir au moins une condition. Pour créer des conditions, cochez la case à gauche de la condition que vous souhaitez activer. Ce qui suit est une description de chaque condition, avec quelques exemples complets.

Enfin, vous pouvez éventuellement saisir un nom pour la règle. Cela sera affiché dans l'interface utilisateur pour chaque correspondance.

Exemples

Voici quelques exemples de règles en cours de création.

C'est une règle qui correspond à tout fichier avec "bomb" dans le nom qui a également un type MIME "image/png".

bomb_png.png

Il s'agit d'une règle qui correspond aux dossiers nommés "Private".

private_folder.png

Cette règle recherche les archives dans le répertoire de téléchargement de l'utilisateur. Elle nécessite "Users" et "Downloads" dans le chemin du fichier, ainsi qu'une extension .zip, .rar ou .7z.

download_archive.png

Il s'agit d'une règle qui correspond aux fichiers d'une taille d'au moins 50 Mo qui ont été modifiés la semaine dernière.

new_large_files.png

Exécution du module

Lors du paramétrage, vous pouvez sélectionner les ensembles de règles que vous souhaitez exécuter sur votre source de données.

ingest.png

Affichage des résultats

Les fichiers qui correspondent à l'une des règles des ensembles de règles activés seront affichés dans la section Results de l'Arborescence sous "Interesting Items", puis sous le nom de l'ensemble de règles correspondant. Notez que d'autres modules en plus de "Interesting Files Identifier" placent leurs résultats dans cette section de l'arborescence, il peut donc y avoir plus d'éléments que ceux qui correspondent à vos ensembles de règles. Sélectionner le nœud "Interesting Files" sous l'un de vos ensembles de règles affichera tous les fichiers correspondants dans la Visionneuse de résultats.

results.png

Vous pouvez voir quelle règle correspond dans la colonne "Category". Vous pouvez exporter tout ou partie des fichiers pour une analyse plus approfondie. Pour ce faire, utilisez d'abord la méthode standard de sélection de fichier sous Windows afin de mettre en évidence les fichiers que vous souhaitez exporter via la Visionneuse de résultats :

Une fois que vous avez sélectionné les fichiers souhaités, faites un clic-droit et sélectionnez "Extract Files" pour en enregistrer une copie.


Copyright © 2012-2021 Basis Technology. Généré le Mardi 27 Juin 2023
Cette documentation est sous licence Creative Commons Attribution-Share Alike 3.0 United States License.