【Autopsy数字取证篇】Autopsy数字取证软件的下载安装与优化配置
Autopsy是一款免费开源的优秀数字取证(Digital Forensics)软件,提供与其他数字取证工具相同的核心功能,并提供其他商业工具不提供的其他基本功能,例如网络工件分析和注册表分析。---【蘇小沐】
1.实验环境
| 系统 | 版本 |
|---|---|
| Windows 11 专业工作站版 | 22H2(22621.819) |
| Autopsy | 4.19.3 |
(一)Autopsy
1.Autopsy简介
Autopsy是The Sleuth Kit(TSK)的图形界面版开源的数字取证工具,可用来分析磁盘镜像和恢复删除的文件,提供在磁盘镜像中进行字符串提取,包括关键字搜索,哈希匹配,注册表分析,Web分析,恢复文件,时间轴分析,chrome,firefox 等浏览器历史分析,关键字搜索和邮件分析等功能,并具有可扩展性(附加模块)。
2.Autopsy下载安装
【Autopsy官网地址:Autopsy (sleuthkit.org);下载地址Autopsy - Download】
选择需要安装的系统版本,然后点击下载即可。
安装完成后,点击运行,启动界面如下。(可自行修改安装路径)
(二)基于硬件的性能优化
安装 Autopsy 后,官方建议执行以下几项基于硬件的操作来优化其性能:
1.线程数
【路径:"Tools->Options->Ingest->Settings"】
线程数:更改运行时使用的并行线程管道数。软件默认值为2个管道,但如果在具有多个内核的系统上运行,则可以增加此值。
在“设置”选项卡上的"收录"面板上,有一个用于"文件收录的线程数的"下拉列表。最大值与系统上的处理器数相同(最多四个)。摄取线程数不能设置为 4 个以上。测试表明,对于大多数系统和设置,在四个线程之后,机器无论如何都是 I/O 绑定的,并且将此数字增加到四个以上实际上可能会降低性能。【每次更改后,重新启动Autopsy以使此设置生效】
1)"Tools->Options"
里面还有其它一些设置,可以自行摸索。
2)"Ingest->Settings"
官方建议线程设置最大数不超过4个。
2.镜像和案例不同盘
制作案例时,请使用不同的驱动器来存储案例和图像。这允许同时读取和写入最大数据量。建议使用固态硬盘分析案例,速度快些。
总结
书写片面,纯粹做个记录,有错漏之处欢迎指正。
【著作所有权归作者 [蘇小沐] 所有,转载请注明文章出处】
参考资料
[1] Autopsy - Basis Technology
| 名称 | 时间 |
|---|---|
| 开始编辑日期 | 2022 年 11 月 26 日 |
| 最后编辑日期 | 2022 年 11 月 26 日 |
