Autopsyも、FTK imagerのようにディスクイメージ等を解析(フォレンジック)する機能があります。
下記のURLからツールを無料でダウンロードできます。
opsy | Digital Forensics
Autopsy® is the premier end-to-end open source digital forensics platform. Built by Basis Technology with the core features you expect in commercial forensic to...
インストール後にデスクトップに犬のアイコンが表示されます。
(今回は「Autopsy 4.15.0」を使用しています。)
実行すると、「ようこそ」が表示されますので、「新規ケース」を選択します。
ケース名:任意のケース名を入力(今回は「test」と入力)
ベースディレクトリー:参照を選択し、ケースファイルのディレクトリを選択
(今回は「C:¥Users¥Desktop」を選択)
を入力し、「次>」を選択
新規のケース情報画面では、下記の図のように、調査員の内容を記入できますが、空白でも大丈夫です。必要なら記入して、「終了(F)」をクリックします。
フォレンジック対象に合わせて、項目を選択します。
(今回はイメージファイル(E01)を解析するので、「ディスクイメージまたはVMファイル」を選択します。)
パス:対象のイメージファイルを選択
「次>」を選択
インジェストモジュールを選択します。
(今回は初期設定のまま「すべてを選択」し実行します。)
ファイルが分析されます。インジェストモジュールが多いほど時間が掛かります。
「終了」をクリックしてください。
右下の「ファイルを解析中です」をクリックすると、何%分析させているのか把握できます。
上段タブ「イメージ/画像」を選択すると、画像一覧が表示されます。
上段タブ「タイムライン」を選択すると、タイムラインでファイルを見ることが可能です。
解析の続きを行う場合は、「ケースを開く」を選択し、「ケース名.aut」(ここでのケース名は「test」)を選択することで、続きができます。
コメント