Autopsy — это программа с открытым исходным кодом, которая используется для выполнения криминалистических операций с жесткими дисками и смартфонами.
Этот инструмент применяется:
- правоохранительными органами
- местной полицией
- корпоративными отделами безопасности
Основное предназначение программы — расследование улик киберпреступлений, но также Autopsy может использоваться для восстановления удаленной информации.
Содержание:
- Создание нового проекта
- Источники данных
- Просмотр содержимого
- Типы файлов:
- По расширению
- Документы
- Исполняемые файлы
- По типам MIME
- Типы файлов:
- Удаленные файлы
- Файлы по размеру
- Полученные результаты
- Извлеченный контент
- Метаданные
- Корзина
- Загрузки из интернета
- Ключевые слова
- Извлеченный контент
- Timeline
- Discovery
- Изображения/Видео
- Тегирование
- Создание отчетов
Первым делом скачаем Autopsy.
Создание нового проекта
Запускаем Autopsy в Windows и нажимаем "New Case".
Вводим название проекта, а также выбираем базовый каталог, чтобы все данные сохранялись в одном месте.
При необходимости можно добавить дополнительную информацию.
Источники данных
Теперь добавим тип источника данных. Есть разные типы на выбор:
- Disk Image or VM file: сюда входит файл образа, который может быть точной копией:
- жесткого диска
- карты памяти
- виртуальной машины
- Local Disk: этот параметр включает такие устройства, как:
- жесткий диск
- USB накопители
- карты памяти и т. д.
- Logical Files: образы любых локальных каталогов или файлов.
- Unallocated Space Image File: файлы, запускаемые с помощью модуля Ingest.
- Autopsy Logical Imager Results: источник данных от сканера логических разделов дисков.
- XRY Text Export: источник данных из экспорта текстовых файлов из XRY.
Теперь добавим источник данных. В данном случае выберем заранее подготовленный образ.
Затем будет предложено настроить модуль Ingest.
Содержимое модуля Ingest приведено ниже:
Информация об источнике данных отображает основные метаданные. Его подробный анализ отображается внизу. Его можно извлекать один за другим.
Просмотр содержимого
Типы файлов
Типы файлов можно классифицировать по форме расширения файла или типа MIME.
Autopsy предоставляет информацию о расширениях файлов, которые обычно используются ОС, тогда как типы MIME используются браузером, чтобы решить, какие данные представлять. Также отображаются удаленные файлы.
Типы файлов можно разделить на категории в зависимости от:
- расширений
- документов
- исполняемых файлов
По расширению
В категории файлов по расширению можно заметить, что они были разделены на типы файлов, такие как:
- Изображения
- Видео
- Аудио
- Архивы
- Базы данных и т. д.
Давайте исследуем изображения, которые были восстановлены.
Мы также можем просмотреть миниатюры изображений.
При просмотре миниатюры можно изучить метаданные файла и подробную информацию об изображении.
Вдобавок здесь есть возможность посмотреть несколько восстановленных аудиофайлов, которые можно извлечь из системы и прослушать с помощью различных программ.
Документы
Документы делятся на 5 типов:
- HTML
- Office
- обычный текст
- форматированный текст
Изучив параметр документов, можно увидеть все имеющиеся HTML-документы. Наиболее важные можно открыть и посмотреть.
Изучив вариант PDF, можно найти важный PDF-файл в образе диска.
Точно так же можно просматривать различные текстовые файлы.
Удаленные текстовые файлы можно восстановить.
Исполняемые файлы
Эти типы файлов делятся на:
- .exe
- .dll
- .bat
- .cmd
- .com
По типам MIME
Здесь есть четыре подкатегории:
- Приложения
- Аудио файлы
- Изображения
- Текстовые файлы
Они разделены на несколько разделов и типов файлов.
Удаленные файлы
Deleted Files: отображает информацию об удаленном файле, который затем можно восстановить.
Файлы по размеру
MB Size Files: здесь файлы классифицируются в зависимости от их размера, начиная с 50 МБ. Это позволяет исследователю искать большие файлы.
Полученные результаты
В этом разделе мы получаем информацию об извлеченном контенте.
Извлеченный контент
Extracted Content: весь извлеченный контент дополнительно детализируется. В нашем случае мы нашли:
- метаданные
- корзину
- загрузки из Интернета
Давайте рассмотрим каждый из них подробнее.
Metadata: здесь мы можем просмотреть всю информацию о файлах, такие как:
- дату создания
- дату изменения
- владельца файла и т. д.
Recycle Bin: в этой категории находятся файлы, помещенные в корзину.
Web Downloads: здесь можно увидеть файлы, которые были загружены из Интернета.
Ключевые слова
Keyword Hits: в этом случае любые конкретные ключевые слова можно найти в образе диска. Поиск может осуществляться по:
- точному совпадению
- электронным письмам
- регулярным выражениям и т. д.
Вы можете просмотреть доступные адреса электронной почты.
Вы можете выбрать экспорт в формат CSV.
Timeline
С помощью данной функции можно получить информацию об использовании системы в формах:
- статистической
- подробной
- списком
Discovery
Эта опция позволяет находить носители с помощью различных фильтров, которые присутствуют в образе диска.
По выбранным параметрам можно получить желаемый результат.
Изображения/Видео
Этот вариант предназначен для поиска изображений и видео с помощью различных параметров и нескольких категорий.
Тегирование
Тегирование используется для:
- создания закладок
- отслеживания
- пометки любого примечательного элемента и т. д.
Теперь, когда видны параметры тегов, становится ясно, что файлы были помечены по различным категориям.
Создание отчетов
После завершения расследования эксперт может составить отчет в различных форматах по своему усмотрению.
Отметьте источник данных, отчет по которому необходимо создать.
Здесь мы выбрали создание отчета в формате HTML.
Наш криминалистический отчет готов!
MVE
Как насчет удаленных файлов на SSD с BeFS?
IvashkaR
Autopsy вообще то графический интерфейс для Sleuth Kit который поддерживает следующие файловые системы: NTFS, FAT, ExFAT, UFS 1, UFS 2, EXT2FS, EXT3FS, Ext4, HFS, ISO 9660, и YAFFS2. Насчёт того что Autopsy применяется правохранительными органами и полицией то да, но есть ньюансы (как из анекдота). Для обучения и начального предосмотра применяется, а для расследований ОЧЕНЬ редко. Это я уточнил у знакомого эксперта (могу сбросить контакт если по англ. говорите). Некоторые корпорации применяют Autopsy но только с купленной тех-поддержкой.