ケース管理

概要

Autopsy はケースおよび取得元のホスト単位でイメージを管理する。 ケースには、いくつかのホストが含まれる (調査を行なう毎に、新しいケースを作成すべきである)。 各ホストには、そのホスト上のパーティションに対応するイメージが含まれる。

新規ケースの作成

(起動時の)メインメニューからNew Caseを選択する。 ケース名の入力が必須である他、オプションで簡単な説明の入力も可能である。 ケース名は、ディレクトリ名として適切なもの(スペースやシンボル文字を含まない) である必要がある。 調査員のリストの入力も求められる。 これらの情報は、認証ではなく、監査ログに用いられる。 ケース名と同じ名前のディレクトリが Evidence Locker の下に作成される。 ケース名を変更したい場合は、単純にディレクトリ名を変更すること。

新規ホストの追加

ケースを作成したら、ホストの追加が必要である。 ケースギャラリーから、作成したケースを選択して、ホストギャラリーに移動する。 Add Host を選択して、ホスト名/簡単な説明/タイムゾーンやクロックスキューといった時刻情報を入力する。 クロックスキューは、システムの時刻から何秒外れているかを示すものである。 ホストを追加すると、ケース名のディレクトリ内にディレクトリが作成され、 さらにホストのイメージ/出力データ/ログ/レポート用のサブディレクトリが作成される。

hash database へのパスを追加することも可能である。

新規イメージの追加

次に、ホストにイメージを追加する。ホストギャラリーで追加したホストを選択し、 ホストマネージャに移動する。Add Imageを選択すると、 インポートするイメージをどこにおくべきかを示すメッセージが表示される筈である。 すべてのイメージ(もしくはシンボリックリンク)を、 (スクリーン上に表示されている)ホストディレクトリのimagesディレクトリにコピーする。 イメージのコピーが完了したら、Refreshを選択する。 プルダウンメニューにイメージが表示されるので、適切なファイルシステムのタイプとマウントポイントを設定する。 デフォルトでは、インポートされた時点でイメージの MD5 の値が計算される。 すでに MD5 の値を把握している場合は、それをフィールド内に記述する。

MD5 の値

ホスト内の各ディレクトリには、ディレクトリ内のファイルに対する MD5 の値を含む md5.txt というファイルがある。 Autopsy はファイルの整合性を検証するために、このファイルを用いる。 デフォルトでは、ファイルが Autopsy にインポートされた時点で、MD5 の値が計算される。 すでに MD5 の値を把握している場合は、「Add Images」ウインドウにおいて、その値を入力することも可能である。

ホストのサブディレクトリ

各ホストには、imagesoutput というディレクトリがある。 Autopsy によって生成されたデータは、すべての output ディレクトリに格納される。 この設計の意図は、imagesディレクトリには、 イメージを改変できないようにするための、厳格なパーミッションを明示的に設定できるようにすることである。 そのため、images ディレクトリでは、改変を禁止するため、書き込みビットを削除することが可能である。

Brian Carrier