Autopsy ヘルプ: 概要
Autopsy フォレンジックブラウザは、コマンドラインのフォレンジックツールや標準的な UNIX ユーティリティに対する GUI を提供する。
これにより、UNIX や Windows の(ディスク)イメージを対象としたファイルシステムの解析が可能となる。
すべてのイメージは、インストール時および実行時に指定した証拠格納(Evidence Locker)ディレクトリに保存される。詳細は、ケース管理 を参照のこと。
Autopsy には、以下のモードがある:
-
ファイル:
イメージをファイルシステムとして扱い、ファイルやディレクトリの内容を閲覧することを可能とする。このモードは削除されたファイル名や NTFS イメージの代替ストリームも表示する。利用者は、メタデータ上のファイルやディレクトリの並び替えを行なうことも可能である。
-
メタデータ:
メタデータ構造体の調査によるイメージの解析を可能とする。
構造体のアドレスを入力することで詳細な表示も可能である。
このモードは未割当ての構造体を調査し、その構造体に割当て済のファイル
(すべてのデータ部および MD5 の値などそれ以外の情報)
についての詳細な情報を取得する際に便利である。
-
データ部:
ブロック番号による閲覧を可能とする。
これは、検索を行なったり、メタデータの閲覧を行なったりする際に便利である。
ブロックの内容は ASCII/ヘキサダンプ/strings(1)の出力のいずれかで表示させることができる。
ブロックに割当て済のメタデータ構造体は、
(可能な場合)ファイル名と対応づけて表示させることもできる。
-
キーワード検索 :
grep(1)を用いて、指定された文字列や正規表現によりイメージを検索する。
結果は、指定された文字列を含むデータ部のリストの形で表示される。
各データ部を選択して、内容を表示させることもできる。
-
イメージの詳細:
イメージ自身についての詳細を表示する。
このモードの出力内容は、ファイルシステムに依存するが、
例えば最終マウント時刻/最終マウント位置/
ブロックグループの情報やFATの内容に関する詳細情報などが含まれる。
-
イメージの整合性:
このモードでは、任意の箇所におけるファイルシステムのイメージの整合性を検証することが可能である。
解析過程でイメージが変更されたかどうかの識別には、
md5.txtの値が用いられる。
-
ファイル操作の timelines:
Autopsy は修正時刻/アクセス時刻/変更時刻(FAT/NTFSのみ)(MAC)に基づいたファイル操作の timeline を生成できる。timeline には削除や割当の詳細が記録される。
結果として出力された timeline は Autopsy 上で表示したり、別のテキスト表示ツール(HTML ブラウザの多くは timeline のような巨大なテーブルをうまく扱えないため、テキストエディタの使用を推奨する)。
-
File Type Categories:
Autopsy では、イメージ中のファイルをファイル形式によりソートすることが可能である。
例えば、すべての JPEG や GIF ファイルをイメージとして識別させたり、実行可能ファイルをさせたりすることが可能である。このモードでは、ハッシュデータベースで問題のないファイル(good files)として指定したファイルを無視したり、ハッシュデータベースで問題のあるファイル(bad files)として指定したファイルを認識したり、ファイル形式と一致しない拡張子をもつファイルを認識したりすることが可能である。
- レポートの生成:
上記のブラウズ手法を使ってレポートを生成することが可能である。
このレポートには、日付/MD5の値/調査者(investigator)/テキスト形式の状況に関する雑多な情報が含まれる。
このモードは削除されたデータのブロックが発見された際に、その記録を保持するための記録として使うことも可能である。
Brian Carrier