Autopsy
Autopsy 是什么?
Autopsy由 Brian Carrier 与 Basis Technology 主导开发的开源数字取证平台,为 The Sleuth Kit 提供图形界面并附带丰富的分析模块。
Autopsy 是一款由 Brian Carrier 及其在 Basis Technology / Sleuth Kit Labs 团队主导的免费开源数字取证平台。它作为 The Sleuth Kit (TSK) 的图形界面,新增了案件管理、自动化摄取模块、关键字检索、时间线分析、哈希集 (NSRL)、Web 痕迹雕刻、EXIF 元数据、注册表解析、Android 取证以及用于自定义模块的 Python/Java 插件 API。Autopsy 最初于 2003 年作为 Web 工具发布,Autopsy 3+ 是用 Java 编写的桌面应用程序,可在 Windows、Linux 和 macOS 上运行。它被执法机构、学生和 DFIR 从业者广泛用作 FTK、EnCase 等商业套件的免费替代品,通常是高校计算机取证课程教授的第一款工具。
● 示例
- 01
首次响应者将 E01 磁盘镜像加载到 Autopsy 中,运行默认摄取模块以对疑似内部威胁案件进行分诊。
- 02
学生在 CTF 比赛中编写自定义 Autopsy Python 模块,用于解析专有聊天数据库。
● 常见问题
Autopsy 是什么?
由 Brian Carrier 与 Basis Technology 主导开发的开源数字取证平台,为 The Sleuth Kit 提供图形界面并附带丰富的分析模块。 它属于网络安全的 取证与应急响应 分类。
Autopsy 是什么意思?
由 Brian Carrier 与 Basis Technology 主导开发的开源数字取证平台,为 The Sleuth Kit 提供图形界面并附带丰富的分析模块。
Autopsy 是如何工作的?
Autopsy 是一款由 Brian Carrier 及其在 Basis Technology / Sleuth Kit Labs 团队主导的免费开源数字取证平台。它作为 The Sleuth Kit (TSK) 的图形界面,新增了案件管理、自动化摄取模块、关键字检索、时间线分析、哈希集 (NSRL)、Web 痕迹雕刻、EXIF 元数据、注册表解析、Android 取证以及用于自定义模块的 Python/Java 插件 API。Autopsy 最初于 2003 年作为 Web 工具发布,Autopsy 3+ 是用 Java 编写的桌面应用程序,可在 Windows、Linux 和 macOS 上运行。它被执法机构、学生和 DFIR 从业者广泛用作 FTK、EnCase 等商业套件的免费替代品,通常是高校计算机取证课程教授的第一款工具。
如何防御 Autopsy?
针对 Autopsy 的防御通常结合技术控制与运营实践,详见上方完整定义。
Autopsy 还有哪些其他名称?
常见的别称包括: Autopsy Forensic Browser, Sleuth Kit Autopsy。
● 相关术语
- forensics-ir№ 1142
The Sleuth Kit
由 Brian Carrier 维护的开源取证库及命令行工具集,用于对磁盘镜像和文件系统进行底层分析。
- forensics-ir№ 426
取证镜像
对存储介质进行逐位复制并以加密哈希校验,用于取证分析与可采纳的法律证据。
- forensics-ir№ 162
证据保管链
对每一份证据从查扣到最终处置过程中,每位经手人、所处地点与所执行操作进行的有序、可追溯的书面记录。
- forensics-ir№ 378
EnCase
EnCase 是 OpenText(原 Guidance Software)推出的商用数字取证产品系列,自上世纪 90 年代末以来广泛应用于执法和企业调查领域。
- forensics-ir№ 436
FTK
Forensic Toolkit(FTK)是由 AccessData 开发、现归 Exterro 所有的商用数字取证套件,用于获取、索引和分析计算机证据。
- forensics-ir№ 1156
时间线分析
一种取证技术,通过关联文件、日志和其他工件的时间戳,重建系统上事件的时间顺序。
● 参见
- № 428取证工具包