Documentation utilisateur Autopsy
4.19.1
Plateforme de criminalistique numérique graphique pour The Sleuth Kit et autres outils.
|
L'imageur logique ("Logical Imager") vous permet de collecter des fichiers en direct à partir d'un ordinateur Windows allumé. L'imageur est configuré avec des règles qui spécifient les fichiers à collecter. Les règles peuvent être basées sur des attributs de fichier tels que les noms de dossier, les extensions et les tailles. Vous pouvez utiliser cette fonction lorsque vous n'avez pas le temps ou l'autorisation d'effectuer une acquisition complète du lecteur.
L'imageur logique peut enregistrer les fichiers correspondants de deux manières. La méthode par défaut consiste à enregistrer des fichiers individuels, ce qui est la méthode la plus rapide et utilise le moins d'espace disque. L'autre option consiste à produire une ou plusieurs images "sparse VHD" contenant toutes les données du système de fichiers qui ont été lues. Ces images VHD peuvent être importées dans Autopsy ou montées avec Windows. Dans les deux cas, l'imageur logique énumère également les comptes d'utilisateurs présents sur le système et peut générer des alertes si des programmes de chiffrement existent.
Le flux de travail général est:
Actuellement, l'imageur logique ne peut être configuré que sur Windows et analysera uniquement les systèmes Windows. Vous devrez également exécuter l'imageur logique en tant qu'administrateur sur le système cible.
Pour commencer, ouvrez Autopsy et accédez à Tools->Create Logical Imager.
Configuration d'un lecteur externe
L'utilisation normale consiste à sélectionner un lecteur dans la liste sous "Configure selected external drive". Une fois la configuration terminée, cela placera l'exécutable de l'imageur logique et un fichier de configuration dans le répertoire racine de ce lecteur. Notez que l'imageur logique ne peut être configuré et exécuté que sur un lecteur non formaté FAT (sauf exFAT) en raison de la taille maximale de fichier limitée à 4 Go sur les systèmes FAT.
Configuration dans un dossier
Si vous n'êtes pas encore prêt à configurer votre lecteur, ou si vous souhaitez créer un fichier de configuration différent, vous pouvez utiliser la deuxième option en allant chercher un dossier ou un fichier de configuration existant. Si vous créez un nouveau fichier, accédez au dossier dans lequel vous souhaitez le créer. Notez que le fichier de configuration porte le nom par défaut "logical-imager-config.json". Vous pouvez modifier cela, mais si vous le faites, vous devrez le renommer après l'avoir copié sur votre lecteur ou utiliser l'invite de commande pour exécuter l'imageur. Voir la rubrique sur l'Exécution à partir d'une invite de commande.
Dans les deux cas, vous pouvez maintenant configurer votre imageur. Si le fichier de configuration existe déjà, cette fenêtre apparaîtra avec les paramètres actuels du fichier.
Sur le côté gauche, vous pouvez voir chaque règle dans le fichier de configuration. Chacune de ces règles sera appliquée sur le système analysé en direct. Une règle a un nom, une description facultative, une ou plusieurs conditions et des paramètres pour ce qui doit se passer lorsqu'un fichier correspondant à la règle est trouvé. Lorsque vous sélectionnez une règle, vous verrez tous les paramètres de cette règle sur le côté droit du panneau. Vous pouvez modifier ou supprimer des règles une fois que vous les avez sélectionnées. Il existe également des paramètres globaux en bas à droite qui s'appliquent au fichier de configuration dans son ensemble:
Alert if encryption programs are found - Cela ajoutera une règle prédéfinie pour rechercher les programmes de chiffrement et pour vous alerter et exporter tous ceux qui sont trouvés. Vous ne pourrez pas modifier cette règle.
Plus d'informations sur la création d'un VHD par rapport à l'enregistrement direct des fichiers correspondants:
Pour créer une nouvelle règle, cliquez sur le bouton "New Rule".
Vous avez le choix entre deux types de règles:
Pour chaque type de règle, commencez par saisir un nom de règle et une description facultative. Vous devrez également choisir au moins une action à effectuer lorsqu'une correspondance est trouvée.
Les règles d'attribut peuvent avoir une ou plusieurs conditions. Toutes les conditions doivent être vraies pour qu'une règle corresponde.
Les règles de chemin complet ont une seule condition.
Une fois que vous avez configuré toutes vos règles, accédez au panneau suivant et cliquez sur "Save" pour enregistrer votre fichier de configuration et l'exécutable de l'imageur logique à l'emplacement que vous avez sélectionné.
L'utilisation des valeurs par défaut dans le processus de configuration créera un lecteur avec le fichier de configuration (nommé "logical-imager-config.json") et l'exécutable de l'imageur logique dans le dossier racine de votre lecteur.
L'utilisation par défaut consiste à exécuter l'imageur logique sur chaque lecteur, à l'exception de celui qui le contient. Notez que l'exécutable de l'imageur logique doit se trouver dans le répertoire racine pour que le lecteur soit ignoré. Pour exécuter l'imageur, faites un clic droit sur "tsk_logical_imager.exe" et sélectionnez "Exécuter en tant qu'administrateur". Cela ouvrira une fenêtre de console où vous verrez des informations sur le traitement et, si vous avez défini des règles pour créer des alertes, vous verrez également les correspondances dans la console. Selon l'option que vous avez sélectionnée lors de la configuration, la fenêtre peut se fermer automatiquement lorsque le traitement est terminé.
L'imageur logique commencera à écrire dans un répertoire à côté de l'exécutable.
Pour exécuter l'imageur logique avec des paramètres personnalisés, vous devez d'abord ouvrir une invite de commande en mode administrateur (cliquez avec le bouton droit, puis sélectionnez "Exécuter en tant qu'administrateur"). Passez ensuite au lecteur sur lequel se trouve l'imageur logique. Vous pouvez l'exécuter en utilisant la configuration par défaut en tapant simplement "tsk_logical_imager.exe".
Si votre fichier de configuration ne s'appelle pas "logical-imager-config.json" (par exemple, si vous avez plusieurs fichiers de configuration pour différentes situations), vous devrez spécifier le nom du fichier à l'aide de l'argument "-c".
Si vous souhaitez spécifier le lecteur sur lequel exécuter l'imageur logique, vous pouvez utiliser l'argument "-i". Cela peut être utile pour tester votre fichier de configuration - vous pouvez créer une petite clé USB avec des fichiers qui doivent correspondre à vos règles pour vous assurer que tout fonctionne correctement avant de l'utiliser sur un système réel. L'exemple suivant montre comment exécuter l'imageur uniquement sur le lecteur "G" du système:
Si l'imageur logique a été exécuté dans le mode par défaut (sans créer de VHD), le dossier de sortie ressemblera à ceci:
Contenu du dossier:
Si l'imageur logique a été configuré pour créer des VHD, vous verrez ces VHD dans le dossier de sortie (avec les autres fichiers de sortie décrits ci-dessus, à l'exception du dossier racine):
Les résultats de l'imageur logique peuvent être ajoutés à un cas d'Autopsy en tant que source de données. Cela ajoute soit uniquement les fichiers correspondants, soit le ou les "sparse VHD" en tant qu'image disque, et cela ajoute également les autres fichiers créés par l'imageur logique. Sélectionnez l'option "Autopsy Imager" et passez à la page suivante.
Dans la section supérieure, vous pouvez voir tous les dossiers de résultats de l'imageur logique dans le dossier racine de chaque lecteur. Sélectionnez celui que vous souhaitez ajouter, puis cliquez sur le bouton "Next".
Si les résultats de votre imageur logique se trouvent à un emplacement différent, sélectionnez "Manually Choose Folder" et utilisez le bouton "Browse" pour localiser vos résultats.
Dans les deux cas, vous aurez à configurer les modules d'acquisition à exécuter. Vous pouvez exécuter n'importe lesquels, mais si vous avez créé un VHD, votre image disque peut ne pas être complète et vous pouvez voir un plus grand nombre d'erreurs qu'à l'accoutumée. Par exemple, un "sparse VHD" contiendra l'intégralité de la table d'allocation de fichiers, mais les données réelles qui accompagnent la plupart des fichiers seront manquantes.
Que vous ayez utilisé un VHD ou non, les fichiers correspondants apparaîtront dans leur chemin d'origine avec leur nom d'origine dans l'Arborescence. Si vous n'avez pas créé de VHD, vous ne verrez que les fichiers correspondants dans l'arborescence. Si vous avez créé un VHD, vous verrez également des entrées pour les fichiers qui ne correspondent pas, bien que le contenu de ces fichiers puisse ne pas figurer dans l'image.
Des artefacts "Interesting File" seront créés pour tous les fichiers qui correspondent aux règles.
Les alertes et fichiers d'utilisateur créés par l'imageur logique se trouvent dans la section Reports de l'arborescence.
Copyright © 2012-2021 Basis Technology. Généré le Mardi 27 Juin 2023
Cette documentation est sous licence
Creative Commons Attribution-Share Alike 3.0 United States License.