Autopsy – это бесплатная программная платформа с открытым исходным кодом, которая используется для анализа цифровых данных. Она предназначена для работы с различными форматами файлов, включая файлы разделов жестких дисков, образы дисков, файлы E01 и многое другое. Autopsy интегрирована с Kali Linux, что делает ее доступной для использования в качестве инструмента для цифрового расследования.

В этой статье мы рассмотрим основные функции Autopsy и как использовать ее для анализа цифровых данных.

Установка Autopsy в Kali Linux (Есть так же весрия для Windows)

Autopsy поставляется вместе с Kali Linux, поэтому вам не нужно устанавливать его отдельно. Однако, если у вас нет Kali Linux, вы можете загрузить его с официального сайта.

Запуск Autopsy

Чтобы запустить Autopsy, откройте терминал и введите команду autopsy. Это запустит интерфейс Autopsy.

Создание нового случая

Перед началом работы с Autopsy необходимо создать новый случай. Чтобы это сделать, выберите “File” -> “New Case”. В появившемся окне введите название вашего случая и выберите путь для сохранения файлов.

Добавление источника данных

После создания нового случая необходимо добавить источник данных. Источник данных может быть представлен жестким диском, образом диска или файлом раздела. Чтобы добавить источник данных, выберите “Add Data Source” и выберите нужный тип источника данных.

Анализ данных

После добавления источника данных можно начать анализировать данные. Autopsy предоставляет множество инструментов для анализа данных, включая поиск файлов, просмотр метаданных, анализ реестра Windows и многое другое.

Поиск файлов

Чтобы найти файлы, выберите “File Search” и введите критерии поиска. Autopsy позволяет искать файлы по имени, расширению, дате создания и многим другим параметрам.

Просмотр метаданных

Autopsy позволяет просматривать метаданные файлов, такие как дата создания, размер файла и многое другое. Чтобы просмотреть метаданные файла, выберите файл и нажмите правой кнопкой мыши на нем, затем выберите “View Metadata”.

Анализ реестра Windows

Autopsy позволяет анализировать реестр Windows для поиска информации о системе и пользователях. Чтобы анализировать реестр Windows, выберите “Registry Analysis” и выберите нужный раздел реестра.

Анализ интернет-активности

Autopsy позволяет анализировать интернет-активность пользователя, например, историю браузера и кэш. Для этого есть специальный инструмент “Web Artifacts”. Он позволяет находить информацию о посещенных сайтах, сохраненных паролях и многое другое.

Анализ файловой системы

Autopsy позволяет анализировать файловую систему и находить скрытые файлы или файлы с измененными атрибутами. Для этого есть специальный инструмент “File System Analysis”. Он позволяет просматривать содержимое файловой системы и находить нужную информацию.