Autopsyも、FTK imagerのようにディスクイメージ等を解析(フォレンジック)する機能があります。
下記のURLからツールを無料でダウンロードできます。
![](https://cyber-security-forensic.com/wp-content/uploads/cocoon-resources/blog-card-cache/00bca08763f0ef6ea243c114e55b7af3.jpg)
opsy | Digital Forensics
Autopsy® is the premier end-to-end open source digital forensics platform. Built by Basis Technology with the core features you expect in commercial forensic to...
![](https://cyber-security-forensic.com/wp-content/uploads/2020/05/image-28-1024x779.png)
インストール後にデスクトップに犬のアイコンが表示されます。
(今回は「Autopsy 4.15.0」を使用しています。)
![](https://cyber-security-forensic.com/wp-content/uploads/2020/05/image-29.png)
実行すると、「ようこそ」が表示されますので、「新規ケース」を選択します。
![](https://cyber-security-forensic.com/wp-content/uploads/2020/05/image-30.png)
ケース名:任意のケース名を入力(今回は「test」と入力)
ベースディレクトリー:参照を選択し、ケースファイルのディレクトリを選択
(今回は「C:¥Users¥Desktop」を選択)
を入力し、「次>」を選択
![](https://cyber-security-forensic.com/wp-content/uploads/2020/05/image-33.png)
新規のケース情報画面では、下記の図のように、調査員の内容を記入できますが、空白でも大丈夫です。必要なら記入して、「終了(F)」をクリックします。
![](https://cyber-security-forensic.com/wp-content/uploads/2020/05/image-34.png)
フォレンジック対象に合わせて、項目を選択します。
(今回はイメージファイル(E01)を解析するので、「ディスクイメージまたはVMファイル」を選択します。)
![](https://cyber-security-forensic.com/wp-content/uploads/2020/05/image-35.png)
パス:対象のイメージファイルを選択
「次>」を選択
![](https://cyber-security-forensic.com/wp-content/uploads/2020/05/image-36.png)
インジェストモジュールを選択します。
(今回は初期設定のまま「すべてを選択」し実行します。)
![](https://cyber-security-forensic.com/wp-content/uploads/2020/05/image-38.png)
ファイルが分析されます。インジェストモジュールが多いほど時間が掛かります。
「終了」をクリックしてください。
![](https://cyber-security-forensic.com/wp-content/uploads/2020/05/image-39.png)
右下の「ファイルを解析中です」をクリックすると、何%分析させているのか把握できます。
![](https://cyber-security-forensic.com/wp-content/uploads/2020/05/image-45.png)
![](https://cyber-security-forensic.com/wp-content/uploads/2020/05/image-46.png)
上段タブ「イメージ/画像」を選択すると、画像一覧が表示されます。
![](https://cyber-security-forensic.com/wp-content/uploads/2020/05/image-47-1024x703.png)
上段タブ「タイムライン」を選択すると、タイムラインでファイルを見ることが可能です。
![](https://cyber-security-forensic.com/wp-content/uploads/2020/06/image-1-1024x641.png)
解析の続きを行う場合は、「ケースを開く」を選択し、「ケース名.aut」(ここでのケース名は「test」)を選択することで、続きができます。
![](https://cyber-security-forensic.com/wp-content/uploads/2020/06/image.png)
コメント