Autopsy. Восстановление данных и информации

Привет, друг. Сегодня поговорим о такой важной теме как восстановление информации с физических носителей. При этом, под фразой «восстановление информации» следует понимать не только восстановление файлов, но и получение любой другой нужной информации. Например о действиях пользователя, поведении системы или о используемом программном обеспечении. Тема очень объёмная и охватить её в одной статье невозможно. Потому здесь вводная часть в тему, и поговорим о такой штуке как Autopsy.

Восстановление данных в Autopsy. Введение в форензику за 30 минут

Почему это важная тема? И зачем вообще тебе может понадобится восстанавливать информацию? Тут всё просто и одновременно сложно. Вариант первый и самый простой. Ты хранил все свои важные и нужные файла на жёстком диске, в единственном экземпляре. И в какой-то момент, этот жёсткий диск не открылся или открылся, но доступа к файлам нет. И, я думаю, ты согласишься что это крайне не приятная история.

Но есть и более грустные варианты. Многие уделяют значительное внимание вопросу сетевой безопасности и анонимности, подключая всякие торы и впны. Это хорошо и правильно. Но. Давай, чисто теоретически, представим ситуацию, что ты занимаешься какими-то делишками, которые могут вызвать некоторый интерес хмурых личностей с разноцветными корочками. И в одно прекрасное солнечное утро, эти замечательные ребятишки решили заглянуть к тебе на чаёк. Не будем углубляться в детали как до этого дошло и где именно ты дал в штангу, мы сейчас не про это. А про то, что твой компьютер не предвиденно оказался в чьих-то липких ручках.

И ты конечно же мне сейчас расскажешь про VeraCrypt и прочие криптоконтейнеры. Это всё здорово и замечательно. Но, как показывает практика, в подавляющем большинстве случаев, файлы, перед тем как попасть в криптоконтейнер, сначала оказываются в твоей файловой системе. Конечно же, после копирования ты жмякнул по ним shift+del. Но вот где гарантия что их после этого не получится восстановить? Да и давай смотреть правде в глаза, не так то и много людей используют криптоконтейнеры или шифрование диска. Некотрые вообще считают что если сделать папку скрытой, то это решает все проблемы.

Ну, а чтобы твои файлики найти или восстановить действительно не получилось, тебе не плохо бы понимать, хотя бы в целом, как вся эта история, с восстановлением информации работает. Что можно восстановить, что нельзя и так далее. Ну, а может ты и есть этот самый хмурый товарищ с ксивой и хочешь разбираться в некоторых вопросах чуть лучше чем тебя научили в институте.

Ладно, это всё философия, я отвлёкся. На тему защиты от восстановления я сделаю отдельную статью, а про VeraCrypt уже есть, можно почитать ТУТ. А сегодня про само восстановление. Ну а причин зачем тебе понадобится восстанавливать информацию может быть чуть больше чем много. Просто условимся, что тебе в руки попал носитель информации и тебе безумно интересно в нём покопаться. Поэтому давай переходить к практической части. Ну и начнём с самых основ.

Интерфейсы жестких дисков

Сначала про железяки. Если ты планируешь заниматься восстановлением информации чуть больше чем один раз, то тебе понадобятся всяческие переходники для подключения диска к компьютеру. Зависеть это будет, как не трудно догадаться, от интерфейса диска. Это нужно знать, потому давай пройдёмся по самым распространённым.

SATA (Serial ATA) — это результат эволюции параллельного ATA (Parallel ATA) в последовательный интерфейс. На данный момент это самый распространённый интерфейс и с ним ты будешь иметь дело в большинстве случаев.

SATA

IDE (Integrated Drive Electronics) — он же ATA, это параллельный интерфейс подключения. Одна из особенностей, это то что контроллер устанавливается на сам накопитель, а на материнской плате находится только хост-адаптер интерфейса. И если ты думаешь что это старая и медленная технология, то ты конечно же прав, но, поверь, этого хлама на руках у народа немерено.

IDE

Ещё есть интерфейсы SCSI, SAS, eSATA и другие. Но на них мы останавливаться не будем, так как вероятность их встретить крайне маленькая, да и мы тут не про жесткие диски разговариваем.

Подключение и переходники

Важный момент по подключению, это не только интерфейс, но и форм-фактор. Не то чтоб мы переживали за размер, но это влияет на необходимость наличия дополнительного питания.

Если у тебя жёсткий диск или ssd 2,5» то тебе нужен переходник SATA на USB, дополнительное питание в этой ситуации не нужно.

SATA на USB

Если у тебя жёсткий диск 3,5» с интерфейсом SATA то тебе точно также нужен переходник SATA на USB, но уже без дополнительного питания работать не будет. А потому оптимальный вариант использовать карман под диск 3,5» с блоком питания.

Ну, а если ты откуда-то раскопал жёсткий диск 3,5» с интерфейсом IDE, то, как и в предыдущем варианте, нужен соответствующий адаптер, только почти всегда там для дополнительного питания будет 4-х пиновый molex. Опять же идеально подойдёт соответствующий карман с подключением через USB.

Общие правила при восстановлении информации

Как и везде, при восстановлении информации есть общие правила. Они, в большинстве своём очевидные, но упомянуть нужно:

  1. Никогда не занимайся изучением чужого носителя информации на своей основной системе. Это нужно делать только на виртуалке. Либо поставь себе какую-нибудь удобную систему на флешку и работай с неё. В случае с флэшкой не забывай что в процессе может потребоваться достаточно много свободного места.
  2. Всегда отключай интернет. На том устройстве на котором ты планируешь работать, например, с жестким диском, очень не лишним будет отрубить доступ в сеть. Хотя бы потому что, чтобы восстанавливать информацию интернет тебе не нужен, а вот что лежит на диске и как оно себя поведет, ты никогда не знаешь.
  3. Перед тем как работать с каким-то носителем, будь-то жёсткий диск, флешка или карта памяти, очень не лишним будет сделать его полны дамп. Если ты работаешь с диском виртуальной машины, тоже сделай его копию. Это подстрахует тебя если что-то накосячишь.

Программы для восстановления данных

Программ для восстановления данных существует много разных. Какие-то хуже работают, какие-то лучше. Самое главное что ты должен понять, что не существует идеального решения на все случаи жизни. У кого-то в одной программе получается лучше, у кого-то в другой. Потому пользуйся тем где тебе удобней и комфортней. В большинстве случаев решают ровные руки и опыт, а софт нужно выбирать в зависимости от целей и задач. Я конечно постепенно, наделаю гайдов по разным полезным софтинам. Но сегодня мы поговорим про программу Autopsy. По ней тоже мнения расходятся, но, как по мне, очень даже классная штука, ещё и бесплатная.

Первый запуск и настройка Autopsy

Как говорится на официальном сайте, Autopsy это платформа для цифровой криминалистики, и нужна она для исследования носителей информации. Ну и не лишним будет отметить что Autopsy это графический интерфейс для The Sleuth Kit. А это, в свою очередь, библиотека и набор инструментов командной строки, предназначенных для анализа данных жесткого диска и файловой системы.

Autopsy можно использовать на Windows, Linux или MacOS. С установкой вряд ли у кого-то возникнуть проблемы. Нужный установщик можно скачать с официального сайта, там же есть вся информация по зависимостям. Ну, а если ты будешь использовать какой-либо специализированный дистрибутив типа Kali или Tsurugi, то там Autopsy уже есть.

Теперь давай запускать Autopsy и смотреть что там можно делать.

При первом запуске нас встретит окно приветствия, с предложением создать новый кейс, открыть предыдущий или открыть любой другой.

autopsy

Жмём New Case и видим окно общей информации о кейсе. Там где Case Name придумываем имя кейса, такое чтобы позже можно было его быстро найти в случае необходимости, ну или просто которое тебе удобнее. Я обычно пишу в формате производитель диска/объём/серийный номер, например: seagate-500-s0v9ltn3. Далее выбираем каталог для кейса. Каталог для данных автоматически будет создан там же, но если нужно можно выбрать другой.

Теперь жмём Далее и попадаем в окно дополнительной информации. Тут заполнять не обязательно. Но если ты делаешь исследование на коммерческой основе, то тогда можно заполнить, потому как эта информация отобразится в сохранённом отчете. Жмём Готово и видим следующее окно.

Источник данных в Autopsy

autopsy

Здесь нам нужно указать источник данных, ну или другими словами выбрать что именно мы будем изучать. Тут некоторые моменты нужно пояснить. Первый пункт Disk Image or VM File нужен для добавления образа диска. Рассказывать прям про все возможные образы я не буду, я тут не книгу пишу. А у простого пользователя столкнуться с образом, например, EnCase шанс не велик. Потому мы остановимся на дисках виртуальных машин.

Autopsy может работать с дисками виртуальных машин в форматах .vmdk и .vhd. Остальные не поддерживаются и чтобы их открыть, их нужно конвертировать в нужный формат. Делается это с помощью VirtualBox. В нём жмём Файл/Инструменты и выбираем Менеджер виртуальных носителей.

virtualbox

В открывшемся окне, сначала жмём добавить и выбираем нужный нужный нам диск, например он может быть с расширением .vdi. Затем жмём копировать и выбираем нужный нам формат, например .vmdk. И нужно будет сколько-то подождать. Сколько, зависит от размера диска. Когда процесс закончится можем добавлять диск в Autopsy.

Второй пункт Local Disk поваляет анализировать локальный диск нашего компьютера или диск подключенный через USB. Это может быть жёсткий диск, SSD или флэшка. Тут важно помнить момент, что если мы добавим в проект какой-то носитель, а после этого запишем на него какие-то файлы, то эти файлы Autopsy не увидит. Да и вообще, что-то делать на изучаемом носителе до окончания анализа это сомнительная практика и старайся так никогда не делать.

Третий пункт Logical Files, позволяет добавлять в проект конкретные файлы или папки. Если ты выберешь в качестве источника папку, то в проект добавятся все вложенные папки и их содержимое.

Оставшиеся три пункта пока пропустим, они нам на начальных этапах этой темы вряд ли понадобятся. Потому забивать голову не будем, вернёмся к ним когда будет актуально.

Для примера мы будем работать с жёстким диском от ноутбука объёмом 500 Гб подключенным в USB порт.

Модули Autopsy

После того как мы добавили источник данных нам предложат выбрать модули. Модули это инструменты которые выполняют анализ. Каждый из них делает что-то своё. Некоторые из них работают автоматически, какие-то требуют дополнительной настройки или параметров. Чем больше модулей ты выберешь, тем дольше будет длится процесс анализа. Если ты сразу какой-то модуль не выбрал, ничего страшного, его можно будет запустить позже, если появится такая необходимость.

autopsy

Перед тем как выбирать модули можно указать в меню Run ingest modules on, к чему именно они будут применяться. В большинстве случаев стоит оставить выбранным первый пункт, немного дольше, но точно ничего не пропустишь. Unallocated Space в большинстве случаев тоже стоит выбирать потому, хоть нераспределенное пространство сейчас никак не используется, но в нём можно найти ранее удалённые файлы.

Теперь нужно выбрать какие именно применять модули. Для понимания разберём что делает каждый из них:

Recent Activity — это модуль изучения недавних действий пользователя. Он извлекает данные операционной системы, а также информацию о последних действиях пользователя. В том числе информацию сохраняемую веб-браузерами, такую как закладки, история загрузок и посещённых сайтов, история веб-поиска. Также этот модуль может получить информацию об установленных программах и о том какие внешние устройства подключались к компьютеру. Никакой дополнительной настройки модуль не требует.

Hash Lookup — если этот модуль включен то Autopsy будет вычислять хэш-сумму для найденных файлов и сравнивать её со значением в базе данных. В результате этого файлы будут разделены на три категории: известные хороший, известные плохие и неизвестные.
известные хорошие файлы — это те файлы которые смело можно игнорировать. Как правило это всякие файлы операционной системы или каких-то программ;
известные плохие файлы — это файлы на которые нужно обратить внимание. Это например файлы всяких вредоносных штук.
неизвестные — это, соответственно, все те что не вошли в две предыдущие категории.

В большинстве случаев, позитивная сторона этого модуля это именно определение известных хороших файлов. Потому что в операционной системе файлов до хрена и все их лопатить скучно и бессмысленно. А модуль Hash Lookup большую часть из них уберет. Ну не то чтоб уберет, он их просто поместит в отдельную ветку и, если нужно, их тоже можно посмотреть.

Использование этого модуля требует дополнительной настройки. А именно, нужно скачать и добавить базу хэшей. Скачать базу можно, например, ТУТ.
После скачивания, чтобы добавить базу, жмём Global Setting. В открывшемся окне жмём Import Hash Set и выбираем файл базы. В случае именно этой базы ставим отметку Known (NSRL or other), жмём ОК.

Hash Lookup

File Type Identification — этот модуль идентифицирует типа файла. Причем он поймёт какой это файл, даже если у него отсутствует или изменено расширение. Этот модуль нужно оставлять включенным всегда, потому что от его работы зависят результаты некоторых других модулей. Настраивать при этом ничего не нужно.

Extension Mismatch Detector — этот модуль ищет файлы у которых расширение не соответствует типу файла. Т.е., например, если ты аудио файлу изменишь расширение на txt, модуль это определит. По умолчанию он работает только с мультимедиа и с исполняемыми файлами. Выбирать пункт «Все файлы» стоит только в случае если есть очень много свободного времени т.к. ложных срабатываний будет порядочное количество.

Embedded File Extractor — этот модуль открывает архивы и файлы офисных приложений, после чего отправляет извлечённые файлы на анализ. Его стоит всегда оставлять включенным. Дополнительной настройки не требует.

Picture Analyzer — этот модуль анализирует изображения и извлекает метаданные. Дополнительной настройки не требует.

Keyword Search — модуль поиска по ключевым словам извлекает нужный нам текст из найденных файлов. Для его работы нужны словари. В комплекте уже есть словари настроенные на поиск телефонных номеров, IP адресов, адресов электронной почты, ссылок и номеров банковских карты. Также можно создавать свои словари или импортировать словари под свои задачи. В настройках также нужно включить поддержку кириллицы.

Email Parser — этот модуль идентифицирует файлы электронных сообщений, а также извлекает из них вложенные файлы, добавляя их в отчёт. Сработает только если в изучаемой системе использовалось какое-нибудь приложение для электронной почты, например Thunderbird.

Encryption Detection — ищет зашифрованные файлы или тома. Например может находить разделы BitLocker, тома VeraCrypt, запароленные файлы офисных приложений, и любые файлы которые имеют энтропию равную или превышающую значение установленное в настройках модуля.

Interesting Files Identifier — модуль поиска интересных файлов. По заданному шаблону и правилам ищет совпадения и добавляет их в отчёт. Изначально в Autopsy есть четыре набора для поиска:
— Поиск файлов облачных хранилищ, типа Google Drive, Dropbox и т.д.;
— Обнаружение файлов криптокошельков, например Jaxx, Ledger и т.д.;
— Поиск файлов программ шифрования, типа KeePass, VeraCrypt и им подобных;
— Поиск программ анонимизации, сюда в основном относятся всякие впны и защищенные браузеры типа Brave.

Помимо существующих наборов, можно создавать свои, в зависимости от задач и потребностей. Для этого нужно будет создать новый список и создать, для каждого интересующего типа файлов, новое правило. В настройках правила нужно будет вписать что именно искать. Это может быть поиск по имени файла или папки, либо поиск по шаблону с использованием регулярных выражений.

PhotoRec Carver — если на источнике данных есть не распределенное пространство, этот модуль попытается найти файлы которые раньше там были и попробует их восстановить. Для работы этого модуля, в большинстве случаев, ничего настраивать не нужно.

Virtual Machine Extractor — ищет файлы виртуальных машин. Ничего настраивать не нужно.

Plaso — запускает инструмент Plaso. Это такая штука про которую, чтобы нормально разобраться, нужно писать отдельную статью. Но если вкратце, то Plaso анализирует кучу всего чтобы извлечь временные метки и построить таймлайн всех событий в системе.

YARA Analyzer — это модуль для поиска в файлах текстовых или двоичных шаблонов. Чтобы он заработал нужно самостоятельно написать и добавить наборы правил. Штука довольно специфическая и объёмная, и в концепцию ознакомительного обзора никак не вписывающаяся, потому останавливать на ней не будем. А кому охота вникнуть самостоятельно, то почитать как пишутся правила можно здесь: https://yara.readthedocs.io/en/stable/writingrules.html

iOS Analyzer — запускает iLEAPP и добавляет его результаты в отчёт. iLEAPP — это инструмент анализа журналов iOS. На данный момент поддерживает всё что до 14 версии.

GPX Parser — этот модуль будет искать файлы GPX и извлекать из них данные GPS. GPX — это формат для обмена данными GPS между приложениями и веб-службами.

Android Analyzer — может анализировать файлы дампа с устройства Android. Извлекает контакты, списки звонков, сообщения и данные GPS из браузера и карт. Есть смысл запускать с другими модулями для поиска файлов, метаданных и вообще любой интересной информации.

Это стандартные модули, но есть и дополнительные модули, которые можно добавить самостоятельно. Их довольно много, потому нужно выбирать в зависимости от целей и задач. Скачать их можно здесь:
https://github.com/sleuthkit/autopsy_addon_modules

Чтобы добавить скачанный модуль в Autopsy нужно открыть меню Tools. И, если файл модуля имеет расширение .nbm, то нужно выбрать Plugins. А если расширение .py то Python Plugins.

После выбора модулей жмём Next и ждём пока добавится источник.

autopsy

Анализ результатов Autopsy

Когда источник добавлен начнётся анализ файлов и файловой системы. На этом этапе можем смело идти заниматься своими делами. Потому как этот процесс может занять очень много времени. Особенно если источник не маленький. Результаты анализа будут постепенно добавляться в проект. При желании их можно изучать в процессе, но лучше всё-таки дождаться окончания. На каком этапе находится анализ можно посмотреть в правом нижнем углу программы.

Само окно Autopsy состоит из нескольких областей:

Autopsy

С левой стороны находится окно дерева результатов. Это как раз и есть результаты работы наших модулей. Здесь мы видим общие данные чего и сколько найдено с разбивкой по соответствующим категориям и можем разворачивать нужные нам ветки для более детального понимания результатов. Именно здесь мы будем выбирать разделы которые нас интересуют.

Правое окно разделено на две части. Верхняя часть это окно обзора результатов, а нижняя это окно данных. Когда мы выбираем какой-нибудь пункт в дереве результатов, то в окне обзора мы видим детальную информацию о выбранном пункте, например найденные файлы. Соответственно когда мы выбираем какой-то файл уже в окне обзора, то в окне данных мы видим детальную информацию о выбранном файле.

В принципе, большая часть нашего анализа будет проходить именно описанным способом.

Теперь чуть более подробно разберём сами результаты анализа.

Дерево результатов Autopsy

Раздел Data Sources. Здесь отображается все источники которые мы добавили в проект и по которым был осуществлён анализ. В нашем случае т.к. мы добавили жесткий диск, то Autopsy показал какие на этом диске есть разделы. При выборе конкретного раздела мы, в окне обзора результатов, увидим его содержимое т.е. файлы и каталоги, а также информацию по ним.

Autopsy

Раздел File Views. В нём есть три подраздела:

  • File Types. Здесь найденные файлы сортируются в зависимости от типа. Есть два деления: по расширению и по MIME. Отдельно выделяются изображения, видео, аудио, архивы, базы данных, документы и исполняемые файлы.
file views
  • Deleted Files. Здесь файлы которые были обнаружены как удалённые. Тут нужно учитывать, что если файл показан здесь, это ещё не означает что его можно восстановить. Вполне может быть такая ситуация что Autopsy смог восстановить только имя файла.
deleted files
  • MB File Size. Здесь файлы сортируются в зависимости от размера.
mb file size

Если в окне обзора выбрать закладку Thumbnail, то можно просматривать миниатюры найденных файлов.

Раздел Data Artifacts. Если по простому то здесь собраны найденные следы активности пользователей. В том числе данные операционной системы, веб-активность в виде закладок, кукисов, истории поиска и посещения сайтов, ну и так далее. Также сюда будут добавлены найденные аккаунты и адреса электронных почт, ну и письма если такие будут найдены.

data artifacts

К примеру если мы выберем в списке Email, то в окне обзора результатов мы увидим найденные электронные письма и аккаунты, данные которых получилось восстановить. Нажав на интересующий пункт, в окне данных можно посмотреть подробную информацию. Если это письмо то можно увидеть заголовок, тест и метаданные письма.

Отдельно стоит обратить внимание на пункт Metadata. Сюда собираются все файлы у которых удалось получить метаданные. Точно также мы можем выбрать нужный файл, и посмотреть по нему детальную информацию, в том числе его содержимое.

Раздел Analysis Results. Здесь собраны результаты работы некоторых модулей на которые, Autopsy считает, что нам нужно обратить внимание. И порой внимание действительно стоит обратить.

Например в разделе Encryption Detected собраны файлы которые были опознаны как защищенные. К таким относятся например запароленные архивы или офисные документы, а также зашифрованные разделы диска, ну и криптоконтейнеры всяких VeraCrypt`ов, если будут найдены, тоже попадут в этот раздел. Выбрав нужный файл в списке, во вкладке Analysis Results мы можем посмотреть причину попадания файлы в этот список.

autopsy

В разделе Extension Mismatch Detector показаны результаты работы одноименного модуля, он ищет файлы у которых расширение не соответствует типу файла. Т.е., например, если ты аудио файлу изменишь расширение на txt, модуль это определит. По умолчанию он работает только с мультимедиа и с исполняемыми файлами. В списке файлов показан сам файл и то как он опознан модулем. Ложных или не нужных сработок у этого модуля, как правило, довольно много. Но вдумчиво ознакомится с результатами однозначно нужно, потому как вероятность найти что-то интересное всё-таки не нулевая. Особенно если мы изучаем жёсткий диск мамкиного анонимуса.

В разделе Interesting Files будет показано всё то что нашёл модуль Interesting Files Identifier. Результат зависит от того какие наборы правил были включены.

Раздел Keyword Hits. Это найденные совпадения для поиска по ключевым словам. Сюда попадает всё то, что было найдено по заданным нами словарям, при включении модуля Keyword Search. Поиск производится в том числе и по содержимому документа. Искать можно как по полному совпадению, так и используя регулярные выражения. Помимо стандартных словарей, можно создавать свои, под конкретную ситуацию. Например если нас интересует что-то связанное с криптой, то можно создать (или скачать готовый) словарь с ключевыми словами: bitcoin, btc, monero, xmr. Ну и так далее по аналогии.

Ещё один вариант использования этого модуля, это сбор информации из плохо структурированных файлов большого объёма. Ну например, ты нашёл файлик с телефонами и почтами, но всё это собрано в хреново читаемом виде. Используя этот модуль, можно выбрать, по шаблону, инфу которую нужно искать и сгрузить её в отдельный файл.

Если ты сразу не включал этот модуль или в процессе возникла необходимость запустить дополнительный словарь, то в правом верхнем углу программы есть кнопка Keyword Lists. Нажав на неё выбираем нужные словари и запускаем.

Если возникла необходимость добавить новый словарь, то жмём Tools-Options и выбираем закладку Keyword Search. Если нужно создать свой словарь, то жмём New List, если добавить существующий то Import List.

Также можно искать по уже обнаруженным ключевым словам. Для этого в правом верхнем углу жмём Keyworld Search

Keyword Hits

Здесь нужно ввести что искать и как искать. Можно выбрать поиск по полному совпадению строки, по совпадению подстроки, и поиск с использованием регулярных выражений. Для каждого нашего поиска в дереве результатов будет создан отдельный пункт.

Дополнительные возможности и визуализация в Autopsy

Естественно перечисленные возможности это лишь малая часть того что может Autopsy. Описать всё и со всеми нюансами нет ни цели ни возможности, потому как на выходе получится что-то безразмерное. А есть цель познакомить с функционалом и дать базовые знания достаточные для дальнейшего самостоятельного изучения, тем у кого появится такое желание.

Того что было описано выше уже достаточно для получения более-менее достойных результатов. Но. У Autopsy есть ещё некоторые дополнительные функции которые позволяют получить ещё больше интересной информации, а также дополнительно проанализировать некоторые направления. Потому о этих функциях поговорим чуть подробнее.

autopsy

В верхней части окна программы есть кнопки которые как раз и дают дополнительные возможности.

Image/Videos

Как не трудно догадаться из названия, это модуль для работы с галерей изображений. При запуске этот модуль сгруппирует все найденные фото и видео файлы в одну галерею, а также в дереве каталогов пометит те, в которых были найдены файлы.

Image/Videos

Найденные файлы можно группировать и сортировать так как нам удобнее, выбирая соответствующие пункты в выпадающих менюшках. А при выборе какого-то конкретного файла, в окне Details, мы увидим его атрибуты. Также можно нажать правой кнопкой на файл и выбрать Show Content Viewer, где посмотреть подробную информацию о нём.

Communications

Модуль визуализации коммуникаций отображает найденные средства общения, такие электронные почты и телефоны. При выборе какого-либо результата справа отобразится детальная информация: где и сколько раз встречается, сами сообщения, контакты, вложения ну и т.д., в зависимости от того какой тип результата мы выбрали.

Communications

Geolocation

Если в ходе анализа из каких-либо файлов удалось получить данные геолокации, то эта информация будет добавлена в модуль Geolocation. Включив который, мы сможем увидеть на карте отметки по полученным координатам. Нажав на одну из отметок можно посмотреть подробную информацию. Также отметки можно сохранить в KML файл, чтобы потом добавить например в Google Earth. Сохраняются только те отметки которые видны на карте в момент создания файла.

Geolocation

Timeline

Это графический инструмент изучения активностей. Простыми словами он показывает когда и какие события произошли в системе. После запуска строится диаграмма, в которой каждый цвет отвечает за разный вид активности:
красный — это действия файловой системы;
зелёный — веб активность;
бирюзовый — всё остальное, например действия приложений

Изначально, будет открыта вкладка Counts. В ней информация будет сгруппирована по годам, но это значение можно изменить передвинув соответствующий ползунок. Можно выставить годы, месяцы, дни, часы, минуты, секунды. Логично начинать свой анализ с большого значения и переходить к меньшему.

Мы можем прямо на графике нажать на столбец соответствующего цвета за соответствующий период времени и увидеть в таблице результатов что происходило. Либо нажать правой кнопкой мыши и отобразить на графике этот временной интервал, или перейти к анализу по типу события. Также глубину диаграммы можно регулировать ползунком.

Timeline

В этом же окне есть вкладка Details. Это кластерный вариант отображения событий. Его стоит включать только когда мы сузили таймлайн до отображения дней, а лучше часов. Потому как во всех остальных случаях событий будет столько, что хрен ты там чего нужного найдёшь. При необходимости нужную дату можно вписать руками в поле Start.

Timeline

Выбирая на таймлайне соответствующий блок событий, в окне результатов (слева внизу) появляется перечень произошедших событий с датой и временем, описанием и типом события. Выбрав там какое-то конкретное событие, справа внизу, в окне деталей, мы можем изучить полную информацию о нём.

Вкладка List. Это тоже самое но в виде таблицы, с датой, типом события и описанием.

Discovery

Discovery

Это модуль поиска изображений, видео, документов или доменов по заданным параметрам. Открыв его, выбираем параметры поиска, способ группировки результатов и запускаем поиск.

Теги и маркировка в Autopsy

Любой анализ хоть сколько-нибудь большого источника данных подразумевает обнаружение огромного количества файлов и вспомогательной информации. Большая часть из которой вполне может оказаться бесполезной. А это, в свою очередь, означает, что в процессе перелопачивания, ты вполне можешь забыть про какой-то важный файл или информацию, на которые натолкнулся перед этим. Чтобы так не произошло в Autopsy есть ещё один вспомогательный инструмент, который можно и нужно использовать. Это теги.

Есть стандартные теги, например закладки. Но правильнее и удобнее создавать свои. К ним также можно добавлять описание, это если вдруг забыл что имел ввиду когда создавал тег.

Теги бываю двух видов. Теги файлов — они нужны когда сам файл представляет интерес. Теги результатов — используются когда интерес представляет результат анализа.

Чтобы отметить тэгом нужный объект жмём на него правой кнопкой мыши и выбираем Add File Tag или Add Result Tag. В появившемся меню можем либо создать обычный тег, либо тег с комментарием. Все созданные теги появляются в этом же меню, для последующего использования. Из объектов отмеченных тегами, в последствии можно создать отдельный отчёт. Также все созданные теги и объекты помеченные ими добавляются в дерево результатов в раздел Tags.

Отчёты в Autopsy

Логическим завершением любого анализа будет создание отчёта. Оно не очень актуально если ты, из праздного любопытства, просто решил покопаться в чужих файликах и данных. Но вот если это какая-то коммерческая, или типа того, история, то этапа создания отчёта не избежать. Справедливости ради отмечу, что в большинстве коммерческих и подобных им ситуаций не используются стандартные средства создания отчётов. Имеется ввиду всего отчёта целиком, а так, выдержки всякие, таблички очень даже используются. В общем смысл в том, что знать про такую возможность нужно.

Чтобы создать отчёт в Autopsy жмём кнопку Ganerate Report и выбираем какой именно отчёт мы хотим получить. При необходимости заполняем хедер и футер. В следующем окне выбираем источники по которым нужно сгенерировать отчёт. Затем, в следующем окне, выбираем какие результаты добавить в отчёт, все или только отмеченные тегами. Жмём Finish и ждём пока сгенерируется файл отчёта. Все созданные отчёты будут добавлены в дерево результатов в раздел Reports.

Отчёты в Autopsy

Ну, а на этом нашу ознакомительную статью по возможностям утилиты Autopsy можно заканчивать. Конечно в рамках одной статьи невозможно описать все возможности и весь функционал. Но такой цели и не ставилось. Но, этой статьи вполне достаточно чтобы облегчить первые шаги и дать основу для дальнейшего изучения. Ну, а потому не забывай возвращаться к нам. Ведь тема восстановления данных очень обширна и нам предстоит изучить ещё очень многое.

Твой Pulse.