Documentation utilisateur Autopsy
4.19.1
Plateforme de criminalistique numérique graphique pour The Sleuth Kit et autres outils.
|
La fonction "Live Triage" vous permet de charger Autopsy sur un lecteur amovible pour l'exécuter sur les systèmes cibles tout en apportant des modifications minimes à ces systèmes cibles. Cela ne fonctionnera actuellement que sur les systèmes Windows.
Pour créer un lecteur de triage en direct, allez dans Tools->Make Live Triage Drive pour afficher la boîte de dialogue principale.
Sélectionnez le lecteur que vous souhaitez utiliser - tout type de périphérique de stockage USB fonctionnera. Pour de meilleurs résultats, utilisez le lecteur le plus rapide disponible. Une fois le processus terminé, le dossier racine contiendra un dossier Autopsy et un fichier RunFromUSB.bat.
Insérez votre lecteur dans la machine cible et accédez à ce lecteur dans l'explorateur Windows. Faites un clic droit sur RunFromUSB.bat et sélectionnez "Exécuter en tant qu'administrateur". Ceci est nécessaire pour analyser les lecteurs locaux.
L'exécution du script générera quelques répertoires supplémentaires sur la clé USB. Le répertoire configData stocke toutes les données utilisées par Autopsy - principalement les fichiers de configuration et les fichiers temporaires. Vous pouvez apporter des modifications aux paramètres d'Autopsy et ils persisteront d'une analyse à l'autre. Le répertoire des cas est créé comme emplacement par défaut pour enregistrer vos données de cas. Vous devrez y accéder lors de la création d'un cas dans Autopsy.
Une fois Autopsy en cours d'exécution, créez un cas comme d'habitude, en veillant à le sauvegarder sur la clé USB.
Ensuite, choisissez la source de données "Local Disk" et sélectionnez le lecteur souhaité.
Voir la page Ajout d'un disque local pour plus d'informations sur les sources de données de disque local.
Suivez ces étapes pour importer un ensemble de hachage à utiliser avec le module Hash Lookup (Recherche de hachage) :
Importez le jeu de hachage comme d'habitude (en utilisant la destination "Local") mais cochez l'option "Copy hash set into user configuration folder" en bas
Cela permettra d'utiliser le jeu de hachage quelle que soit la lettre de lecteur affectée au lecteur de triage en direct.
Copyright © 2012-2021 Basis Technology. Généré le Mardi 27 Juin 2023
Cette documentation est sous licence
Creative Commons Attribution-Share Alike 3.0 United States License.