Documentation utilisateur Autopsy  4.19.1
Plateforme de criminalistique numérique graphique pour The Sleuth Kit et autres outils.
Plaso

Table des matières

Plaso est un framework pour l'exécution de modules ayant pour but d'extraire les horodatages de différents types de fichiers. Le module d'acquisition Plaso exécute Plaso pour générer des événements qui sont affichés dans la Timeline (Chronologie) d'Autopsy. Pour plus d'informations sur Plaso, voir la documentation.

Exécution du module

Le module d'acquisition Plaso exécute des dizaines d'analyseurs individuels et peut prendre beaucoup de temps à s'exécuter. Lors des tests, les analyseurs les plus lents étaient de loin winreg, pe, et chrome_cache. chrome_cache est toujours désactivé car il duplique les événements créés par le module Recent Activity (Activités récentes). Vous pouvez choisir d'activer les modules winreg et pe sur le panneau de configuration des modules d'acquisition ("Configure Ingest Modules").

plaso_config.png

Plaso ne fonctionnera que sur des sources de données de type image disque.

Voir les résultats

Les événements Plaso seront présentés dans la Timeline (Chronologie). Notez que les événements créés par Plaso ne sont pas affichés dans l'Arborescence.

plaso_timeline.png

Copyright © 2012-2021 Basis Technology. Généré le Mardi 27 Juin 2023
Cette documentation est sous licence Creative Commons Attribution-Share Alike 3.0 United States License.