autopsy - Браузер судебно-медицинской экспертизы вскрытия
autopsy [-c] [-C] [-d evid_locker ] [-i device filesystem mnt ] [-p port ] [addr]
По умолчанию вскрытие запускает сервер Autopsy Forensic Browser на порту 9999 и принимает подключения с локального хоста. Если задан -p port, сервер открывается на этом порту, а если указан addr, то соединения принимаются только с этого хоста. Когда задан аргумент -i, вскрытие переходит в режим анализа в реальном времени.
Аргументы следующие:
Заставьте программу использовать файлы cookie даже для локального хоста.
Заставьте программу не использовать файлы cookie даже для удаленных хостов.
Каталог, в котором хранятся случаи и хосты. Это переопределяет значение LOCKDIR в conf.pl. Путь должен быть полным (т. е. начинаться с /).
Укажите информацию для режима анализа в реальном времени. Это можно указать столько раз, сколько необходимо. Поле device предназначено для исходного устройства файловой системы, поле filesystem — для типа файловой системы, а поле mnt — для монтирования точка файловой системы.
TCP-порт для прослушивания сервером.
IP-адрес или имя хоста, на котором находится исследователь. Если используется localhost, то в URL-адресе необходимо использовать «localhost». Если вы используете фактическое имя хоста или IP, оно будет отклонено.
При запуске программа отобразит URL-адрес для вставки в HTML-браузер. Браузер должен поддерживать фреймы и формы. Браузер Autopsy Forensic Browser позволит следователю анализировать изображения, созданные dd(1), на наличие улик. Программа позволяет анализировать изображения путем просмотра файлов, блоков, инодов или путем поиска блоков. Программа также генерирует отчеты о вскрытии, которые включают время сбора, имя исследователя и значения хэш-функции MD5.
В conf.pl. можно установить следующие переменные.
Если установлено значение 1 (по умолчанию 0), сервер завершит работу через STIMEOUT секунд бездействия (по умолчанию 3600). Этот параметр рекомендуется, если файлы cookie не используются.
Каталог, в котором находятся дела и криминалистические изображения. Изображения должны иметь простые имена, состоящие только из букв, цифр, «_», «-» и «.». (См. ФАЙЛЫ).
Каталог, в котором находятся двоичные файлы The Sleuth Kit.
Расположение Национальной справочной библиотеки программного обеспечения NIST (NSRL).
Каталог, в который был установлен Autopsy.
Расположение двоичного файла grep(1).
Местоположение двоичного файла strings(1).
Evidence Locker — это место, где будут сохраняться все дела и хосты. Это каталог, который будет иметь каталог для каждого случая. Каждый каталог case будет иметь каталог для каждого хоста.
Этот файл является файлом конфигурации дела. Он содержит описание случая и подкаталоги по умолчанию для хостов.
Этот файл содержит список следователей, которые будут использовать это дело. Они используются только для ведения журнала, а не для аутентификации.
В этом файле сохраняются детали конфигурации хоста. Он похож на файл fsmorgue из предыдущих версий Autopsy. Он имеет запись для каждого файла на хосте и содержит описание хоста.
В некоторых каталогах будет этот файл. Он содержит значения MD5 для важных файлов в каталоге. Это упрощает проверку целостности изображений.
autopsy -p 8888 10.1.34.19
dd(1), fls(1), ffind(1), ifind(1), grep(1), icat(1) md5(1), strings(1),
Для браузера Autopsy Forensic Browser требуется The Sleuth Kit
вскрытие впервые появилось в вскрытие версии 1.0.
Это программное обеспечение распространяется под Стандартной общественной лицензией GNU.
Брайан Кэрриер <перевозчик в sleuthkit dot org>
Отправлять обновления документации по адресу