Table des matières
L'arborescence sur le côté gauche de la fenêtre principale est l'endroit où vous pouvez parcourir les fichiers dans les sources de données du cas et trouver les résultats enregistrés à partir des analyses automatisées (Ingest). L'arborescence a sept zones principales:
- Persons / Hosts / Data Sources: Cela montre la hiérarchie arborescente de répertoires des sources de données. Vous pouvez accéder à un fichier ou à un répertoire spécifique ici. Chaque source de données ajoutée au cas est représentée sous la forme d'une sous-arborescence distincte. Si vous ajoutez une source de données plusieurs fois, elle apparaît plusieurs fois.
- File Views: Des types spécifiques de fichiers provenant des sources de données sont affichés ici, agrégés par type ou par d'autres propriétés. Les fichiers ici peuvent provenir de plusieurs sources de données.
- Data Artifacts: C'est l'un des principaux endroits où les résultats des Ingest Modules (Modules d'acquisition) en cours apparaissent.
- Analysis Results: C'est l'un des autres principaux endroits où les résultats des Ingest Modules (Modules d'acquisition) en cours apparaissent.
- OS Accounts: C'est ici que vous pouvez voir à la fois les résultats de l'analyse automatisée exécutée en arrière-plan et les résultats de votre recherche.
- Tags: C'est là que les fichiers et les résultats qui ont été marqués sont affichés.
- Reports: Les rapports que vous avez générés ou que les modules d'acquisition ont créés s'affichent ici.
Vous pouvez également utiliser l'option "Group by Person/Host" disponible via la page Options d'affichage pour déplacer les nœuds d'arborescence Views, Results, et Tags sous les catégories "Persons" et "Hosts" correspondantes. Cela peut être utile dans les cas très volumineux pour réduire la taille de chaque sous-arborescence.
Persons / Hosts / Data Sources (Personnes / Hôtes / Sources de données)
Par défaut, le nœud supérieur de l'arborescence contiendra toutes les sources de données du cas. Le nœud "Data Sources" est organisé par hôte, puis par source de données elle-même. Un clic droit sur les différents nœuds dans la zone "Data Sources" de l'arborescence vous permettra d'obtenir plus d'options pour chaque source de données et son contenu.
Si l'option "Group by Person/Host" a été sélectionnée dans le panneau Options, les hôtes et les sources de données seront organisés par rapport à toutes les personnes ayant été associées aux hôtes. De plus, le reste des nœuds (Views, Results, etc...) se trouve sous chaque source de données.
Persons (Personnes)
Si l'option "Group by Person/Host" a été sélectionnée dans le panneau Options, les nœuds de niveau supérieur afficheront les personnes. Les personnes sont créées manuellement et peuvent être associées à un ou plusieurs hôtes. Pour ajouter ou supprimer une personne d'un hôte, cliquez avec le bouton droit sur l'hôte et sélectionnez l'option appropriée.
Vous pouvez modifier et supprimer des personnes en faisant un clic droit sur le nœud.
Hosts (Hôtes)
Toutes les sources de données sont organisées sous des nœuds "Hosts" (Hôtes). Voir la page Hôtes pour plus d'informations sur l'utilisation des hôtes.
Data Sources (Sources de données)
Sous les hôtes se trouvent les nœuds de chaque source de données.
L'espace non alloué (Unallocated space) représente les parties d'un système de fichiers qui ne sont actuellement utilisées pour rien. L'espace non alloué peut contenir des fichiers supprimés et d'autres artefacts intéressants. Dans une source de données d'image disque, l'espace non alloué est stocké dans des blocs situés à des emplacements distincts dans le système de fichiers. Cependant, en raison du fonctionnement des outils de carving, il est préférable d'alimenter ces outils avec un seul et grand fichier d'espace non alloué. Autopsy permet d'accéder aux deux méthodes d'examen de l'espace non alloué.
- Blocs individuels dans un volume - Pour chaque volume, il y a un dossier "virtuel" nommé "$Unalloc". Ce dossier contient tous les blocs non alloués individuels situés de façon contiguës (fichiers d'espace non alloué) à la manière dont l'image les stocke. Vous pouvez faire un clic droit et extraire tout fichier d'espace non alloué de la même manière que vous pouvez extraire tout autre type de fichier dans la zone "Data Sources".
- Fichiers uniques - Faites un clic droit sur un volume et sélectionnez "Extract Unallocated Space as Single File" pour concaténer tous les fichiers d'espace non alloués du volume en un seul fichier continu. (Si vous le souhaitez, vous pouvez faire un clic droit sur une image et sélectionner "Extract Unallocated Space to Single Files", ce qui fera la même chose mais une fois pour chaque volume de l'image).
Un exemple de l'option d'extraction de fichier unique est illustré ci-dessous.
File Views (Vues des fichiers)
La zone "Views" filtre tous les fichiers du cas en fonction de certaines propriétés du fichier.
- File Types - Trie les fichiers par extension ou par type MIME et les affiche dans le groupe approprié. Par exemple, les fichiers avec les extensions .mp3 et .wav se retrouvent dans le groupe "Audio".
- Deleted Files - Affiche les fichiers qui ont été supprimés, mais dont les noms ont été récupérés.
- File Size - Trie les fichiers en fonction de leur taille.
Data Artifacts (Artefacts de données)
Cette section présente les artefacts de données créés en exécutant les modules d'acquisition. En général, les artefacts de données contiennent des informations concrètes extraites de la source de données. Par exemple, des journaux d'appels et des messages de journaux de communication ou des signets Web extraits d'une base de données de navigateur.
Analysis Results (Résultats d'analyse)
Cette section affiche les résultats d'analyse créés en exécutant les modules d'acquisition. En général, les résultats d'analyse contiennent des informations intéressantes pour l'utilisateur. Par exemple, si l'utilisateur établit une liste de hachages notables, tous les hits de l'ensemble de hachage apparaîtront ici.
OS Accounts (Comptes de système d'exploitation)
Cette section montre les comptes de système d'exploitation trouvés dans le cas. Voir la rubrique Comptes de système d'exploitation à titre d'exemple.
Tags (Marquages)
Tout élément que vous marquez s'affiche ici pour que vous puissiez le retrouver facilement. Voir la page Marquages et commentaires pour plus d'informations.
Reports (Rapports)
Les rapports peuvent être ajoutés par les Ingest Modules (Modules d'acquisition) ou créés en utilisant l'outil Rapports.