Linux -- это интересно

Autopsy

Удобная оболочка к набору консольных утилит The Sleuth Kit.


Autopsy (Autopsy Forensic Browser) — удобный Perl веб-интерфейс (WebUI) к набору консольных утилит предназначенных для проведения криминалистического анализа файловых систем The Sleuth Kit (TSK).

The Sleuth Kit (TSK) — набор автоматизированных инструментов для проведения криминалистического анализа файловых систем. В состав набора входит библиотека и более двадцати консольных утилит, большинство из них для удобства пользователя разбиты на группы, каждая из утилит набора является низкоуровневой и выполняет одну простую задачу.

Теоретически, весь процесс анализа с помощью TSK (The Sleuth Kit) выполняется в режиме командной строки, что не всегда и не всем удобно, к тому же имеющееся количество функциональных возможностей набора может вызвать некоторые затруднения в изучении и использовании даже у опытных специалистов. Оболочка Autopsy разрабатывалась для автоматизации использования TSK, но не ограничивает её функциональных возможностей, нет никаких ограничений на параллельное использование командной строки, при необходимости сделать что либо из отсутствующего в веб-интерфейсе.

Autopsy это фактически веб-сервер, запускающий приложения из набора TSK и обрабатывающий (визуализирующий) их вывод. Можно идентифицировать и восстановить удалённые данные на работающих системах (работать с дисками напрямую), либо из образов (например снятых при помощи утилит подобных dd).

Autopsy поддерживает несколько режимов анализа (соответствующих структуре пакета TSK), в режиме анализа файлов можно просматривать списки файлов и каталогов, а так же содержимое отдельных файлов. Анализ в режиме метаданных отображаются все метаданные связанные с конкретной записью и всех блоков данных. Режим блоков данных позволяет просмотреть содержимое любого блока данных файловой системы (как в шестнадцатеричном редакторе), в режиме поиска по ключевым словам возможен поиск по ASCII-кодам и строкам Unicode (поиск осуществляется по логическим томам, а не по логическим файлам).

Autopsy позволяет использовать несколько хостов (с своим часовым поясом и базой данных хеш-кодов) и может использоваться удалённо, по локальной сети и через Интернет, что позволяет создать централизованное хранилище образов. Все действия регистрируются в журнале, благодаря чему можно отслеживать процесс анализа и делать метки на нужных участках (будет проще вернутся к месту для повторного исследования), имеется возможность сортировки данных и построения временных диаграмм отслеживающих события файловых операций (при необходимости возможно создание заметок/описаний и их сортировка).

Autopsy разработан и поддерживается экспертом по безопасности Brian Carrier, являющимся и автором The Sleuth Kit (TSK). Для получения наибольшей эффективности от использования TSK и Autopsy, желательно использовать предварительно созданную базу данных, например можно закачать библиотеки NSRL (National Software Reference Library).

Лицензия: GNU General Public License version 2.0 (GPLv2) / Apache License V2.0

Домашняя страница

Страница на sourceforge.net

Криминалистический анализ файловых систем - Кэрриэ Б / Brian Carrier (djvu/7z-7.29 MB)

Оставьте комментарий!
Используйте нормальные имена.Войти через loginza
Если вы уже зарегистрированы как комментатор или хотите зарегистрироваться, укажите пароль и свой действующий email.
(При регистрации на указанный адрес придет письмо с кодом активации и ссылкой на ваш персональный аккаунт, где вы сможете изменить свои данные, включая адрес сайта, ник, описание, контакты и т.д.)



 
(обязательно)