ケース管理
概要
Autopsy はケースおよび取得元のホスト単位でイメージを管理する。
ケースには、いくつかのホストが含まれる
(調査を行なう毎に、新しいケースを作成すべきである)。
各ホストには、そのホスト上のパーティションに対応するイメージが含まれる。
新規ケースの作成
(起動時の)メインメニューからNew Caseを選択する。
ケース名の入力が必須である他、オプションで簡単な説明の入力も可能である。
ケース名は、ディレクトリ名として適切なもの(スペースやシンボル文字を含まない)
である必要がある。
調査員のリストの入力も求められる。
これらの情報は、認証ではなく、監査ログに用いられる。
ケース名と同じ名前のディレクトリが Evidence Locker の下に作成される。
ケース名を変更したい場合は、単純にディレクトリ名を変更すること。
新規ホストの追加
ケースを作成したら、ホストの追加が必要である。
ケースギャラリーから、作成したケースを選択して、ホストギャラリーに移動する。
Add Host を選択して、ホスト名/簡単な説明/タイムゾーンやクロックスキューといった時刻情報を入力する。
クロックスキューは、システムの時刻から何秒外れているかを示すものである。
ホストを追加すると、ケース名のディレクトリ内にディレクトリが作成され、
さらにホストのイメージ/出力データ/ログ/レポート用のサブディレクトリが作成される。
hash database へのパスを追加することも可能である。
新規イメージの追加
次に、ホストにイメージを追加する。ホストギャラリーで追加したホストを選択し、
ホストマネージャに移動する。Add Imageを選択すると、
インポートするイメージをどこにおくべきかを示すメッセージが表示される筈である。
すべてのイメージ(もしくはシンボリックリンク)を、
(スクリーン上に表示されている)ホストディレクトリのimagesディレクトリにコピーする。
イメージのコピーが完了したら、Refreshを選択する。
プルダウンメニューにイメージが表示されるので、適切なファイルシステムのタイプとマウントポイントを設定する。
デフォルトでは、インポートされた時点でイメージの MD5 の値が計算される。
すでに MD5 の値を把握している場合は、それをフィールド内に記述する。
MD5 の値
ホスト内の各ディレクトリには、ディレクトリ内のファイルに対する
MD5 の値を含む md5.txt というファイルがある。
Autopsy はファイルの整合性を検証するために、このファイルを用いる。
デフォルトでは、ファイルが Autopsy にインポートされた時点で、MD5 の値が計算される。
すでに MD5 の値を把握している場合は、「Add Images」ウインドウにおいて、その値を入力することも可能である。
ホストのサブディレクトリ
各ホストには、images と output というディレクトリがある。
Autopsy によって生成されたデータは、すべての output ディレクトリに格納される。
この設計の意図は、imagesディレクトリには、
イメージを改変できないようにするための、厳格なパーミッションを明示的に設定できるようにすることである。
そのため、images ディレクトリでは、改変を禁止するため、書き込みビットを削除することが可能である。
Brian Carrier