Autopsy (Autopsy Forensic Browser) — удобный Perl веб-интерфейс (WebUI) к набору консольных утилит предназначенных для проведения криминалистического анализа файловых систем The Sleuth Kit (TSK).
The Sleuth Kit (TSK) — набор автоматизированных инструментов для проведения криминалистического анализа файловых систем. В состав набора входит библиотека и более двадцати консольных утилит, большинство из них для удобства пользователя разбиты на группы, каждая из утилит набора является низкоуровневой и выполняет одну простую задачу.
Теоретически, весь процесс анализа с помощью TSK (The Sleuth Kit) выполняется в режиме командной строки, что не всегда и не всем удобно, к тому же имеющееся количество функциональных возможностей набора может вызвать некоторые затруднения в изучении и использовании даже у опытных специалистов. Оболочка Autopsy разрабатывалась для автоматизации использования TSK, но не ограничивает её функциональных возможностей, нет никаких ограничений на параллельное использование командной строки, при необходимости сделать что либо из отсутствующего в веб-интерфейсе.
Autopsy это фактически веб-сервер, запускающий приложения из набора TSK и обрабатывающий (визуализирующий) их вывод. Можно идентифицировать и восстановить удалённые данные на работающих системах (работать с дисками напрямую), либо из образов (например снятых при помощи утилит подобных dd).
Autopsy поддерживает несколько режимов анализа (соответствующих структуре пакета TSK), в режиме анализа файлов можно просматривать списки файлов и каталогов, а так же содержимое отдельных файлов. Анализ в режиме метаданных отображаются все метаданные связанные с конкретной записью и всех блоков данных. Режим блоков данных позволяет просмотреть содержимое любого блока данных файловой системы (как в шестнадцатеричном редакторе), в режиме поиска по ключевым словам возможен поиск по ASCII-кодам и строкам Unicode (поиск осуществляется по логическим томам, а не по логическим файлам).
Autopsy позволяет использовать несколько хостов (с своим часовым поясом и базой данных хеш-кодов) и может использоваться удалённо, по локальной сети и через Интернет, что позволяет создать централизованное хранилище образов. Все действия регистрируются в журнале, благодаря чему можно отслеживать процесс анализа и делать метки на нужных участках (будет проще вернутся к месту для повторного исследования), имеется возможность сортировки данных и построения временных диаграмм отслеживающих события файловых операций (при необходимости возможно создание заметок/описаний и их сортировка).
Autopsy разработан и поддерживается экспертом по безопасности Brian Carrier, являющимся и автором The Sleuth Kit (TSK). Для получения наибольшей эффективности от использования TSK и Autopsy, желательно использовать предварительно созданную базу данных, например можно закачать библиотеки NSRL (National Software Reference Library).
Лицензия: GNU General Public License version 2.0 (GPLv2) / Apache License V2.0
Криминалистический анализ файловых систем - Кэрриэ Б / Brian Carrier (djvu/7z-7.29 MB)