부검(소프트웨어)
Autopsy (software)부검은 Sleuth Kit에 사용되는 많은 오픈 소스 프로그램과 플러그 인을 배치하는 것을 더 간단하게 만드는 컴퓨터 소프트웨어다.[1]그래픽 사용자 인터페이스는 기초 볼륨의 법의학 검색 결과를 표시하여 조사자가 관련 데이터 섹션에 플래그를 더 쉽게 표시할 수 있도록 한다.이 도구는 대부분 지역사회의 프로그래머들의 도움을 받아 기초기술공단에 의해 유지된다.그 회사는 제품 사용에 대한 지원 서비스와 교육을 판매한다.[2]
도구는 다음과 같은 원칙을 염두에 두고 설계된다.
- 확장 가능 — 사용자는 기본 데이터 소스의 전부 또는 일부를 분석할 수 있는 플러그인을 만들어 새로운 기능을 추가할 수 있어야 한다.
- 중앙 집중식 — 이 도구는 모든 특징과 모듈에 접근하기 위한 표준적이고 일관된 메커니즘을 제공해야 한다.
- 사용 편의성 — 부검 브라우저는 사용자가 과도한 재구성 없이 쉽게 단계를 반복할 수 있도록 마법사와 기록 도구를 제공해야 한다.
- 다중 사용자 — 한 명의 조사자가 도구를 사용할 수 있거나 팀의 작업을 조정할 수 있어야 한다.
코어 브라우저는 파일 스캔, 결과 탐색(보기) 또는 결과 요약(보고)을 도와주는 모듈을 추가함으로써 확장될 수 있다.오픈 소스 모듈 모음은 사용자 지정이 가능하다.
과정
부검은 모든 파일을 해싱하고, 표준 아카이브(ZIP, JAR 등)를 풀며, EXIF 값을 추출하고, 키워드를 인덱스에 입력하여 주요 파일 시스템(NTF, FAT, ExfAT, HFS+, Ext2/Ext3/Ext4, YAFS2)을 분석한다.표준 이메일 형식이나 연락처 파일과 같은 일부 파일 형식도 구문 분석 및 카탈로그화된다.
사용자들은 이러한 색인된 파일들을 검색하여 최근의 활동을 확인할 수도 있고 중요한 최근의 활동을 요약한 HTML이나 PDF로 보고서를 만들 수도 있다.시간이 짧을 경우 사용자는 규칙을 사용하여 가장 중요한 파일을 먼저 분석하는 트라이어지 기능을 활성화할 수 있다.부검은 이러한 파일의 일부 이미지를 VHD 형식으로 저장할 수 있다.
상관 관계
여러 기계나 파일 시스템으로 작업하는 조사자는 여러 장소에서 발견될 수 있는 전화번호, 이메일 주소, 파일 또는 기타 관련 데이터에 플래그를 지정할 수 있는 중앙 데이터 저장소를 구축할 수 있다.SQL Lite 또는 PostgreSQL 데이터 베이스는 조사자가 이름, 도메인, 전화 번호 또는 USB 레지스트리 항목의 모든 발생 항목을 찾을 수 있도록 정보를 저장한다.
언어
Anchividation 버전 2는 Perl로 작성되었으며 Linux, Unix, macOS, Windows를 포함한 모든 주요 플랫폼에서 실행된다.그것은 디스크를 분석하기 위해 The Sleuth Kit에 의존한다.버전 2는 GNU GPL 2.0에 따라 출시된다.[3]
부검 3.0은 NetBeans 플랫폼을 사용하여 자바어로 작성된다.아파치 라이선스 2.0에 따라 출시됐다.[3]
부검은 다양한 면허증을 가진 다수의 도서관에 달려 있다.[3]SQL Lite 및 Postgre와 함께 작동함정보를 저장하는 SQL 데이터 베이스.키워드 검색 지수는 Lucene / SOLR로 작성된다.
참조
- ^ "The Sleuth Kit (TSK) & Autopsy: Open Source Digital Forensics Tools". Brian Carrier.
- ^ "Digital Forensics". Basis Technology Corp. 23 December 2013.
- ^ a b c "Autopsy: License". Brian Carrier.
