L'analyse des données dans Autopsy utilise le flux de travail suivant:
- Créer un cas: un cas est un conteneur pour une ou plusieurs sources de données. Il faut en créer un avant l'analyse des données. Voir Cases (Cas) pour plus de détails.
- Ajouter une source de données: une ou plusieurs sources de données sont ajoutées au cas. Les sources de données incluent les images disque et les fichiers locaux. Voir Data Sources (Sources de données) pour plus de détails.
- Analyser avec des Ingest Modules (modules d'acquisition): une fois la source de données ajoutée, les modules d'acquisition fonctionnent en arrière-plan pour analyser les données. Les résultats s’affichent dans l'interface en temps réel et fournissent des alertes si nécessaire. Exemples de modules d'acquisition: calcul et recherche de hachage, recherche de mots-clés ou extraction d'artefacts Web. Des modules tiers peuvent être développés et ajoutés aux pipelines. Voir Ingest Modules (Modules d'acquisition).
- Analyser manuellement: l'utilisateur navigue dans l'interface, le contenu du fichier et les résultats du module d'acquisition pour identifier les preuves. Les éléments intéressants peuvent être marqués pour un rapport et une analyse ultérieurs.
- Générer un rapport: l'utilisateur lance un rapport final basé sur les marquages ou les résultats sélectionnés.