Autopsy to opensource’owy program stworzony z myślą o informatyce śledczej. Jest on właściwie interfejsem graficznym dla zestawu zaawansowanych narzędzi (głównie z pakietu The Sleuth Kit), które służą do pozyskiwania cyfrowych środków dowodowych według specyficznych wymagań informatyki śledczej. W interfejsie Autopsy znacznie łatwiej jest wykorzystywać wspomniane narzędzia (normalnie działają tylko z poziomu wiersza poleceń/konsoli) i dzięki nim zbierać, odzyskiwać oraz analizować dowody, a także tworzyć specjalistyczne raporty. Autopsy jest udostępniany całkowicie za darmo, jednak oferuje możliwości bardzo zbliżone do komercyjnych programów z tej samej kategorii. Dzięki łatwości obsługi narzędzie może okazać się przydatne nie tylko dla informatyków śledczych, ale i dla mniej doświadczonych użytkowników, którzy np. potrzebują odzyskać skasowane pliki (obrazy, dokumenty, materiały audio/wideo) czy przydatne/wrażliwe informacje z różnego typu nośników danych, w tym z telefonów, tabletów, aparatów i kamer cyfrowych oraz kart pamięci.
Główne możliwości Autopsy:
• źródłem danych może być obraz nośnika danych (wspierane obrazy: IMG, DD, 001, AA, RAW, BIN, E01), nośnik fizyczny, partycja, folder, plik, zestaw katalogów oraz plików,
• projekty śledcze zostają uporządkowane w strukturę oddzielnych spraw, opcjonalnie można użyć numeracji spraw oraz podać dane osoby wykonującej analizę, każda ze spraw może zawierać wiele źródeł danych,
• elastyczność w wyborze i konfiguracji modułów pozyskujących oraz analizujących dane ze źródła,
• wsparcie dla analizy dostosowanej do popularnych systemów plików, obsługiwane są m.in. systemy NTFS, FAT12, FAT16, FAT32, HFS+, ISO9660 (CD-ROM), Ext2, Ext3, UFS,
• analiza na osi czasu – program prezentuje zdarzenia na graficznej osi czasu, w przystępny sposób informując o datach i czasach, w których użytkownik wykonywał różne działania w systemie
• zaawansowane wyszukiwanie na podstawie słów kluczowych – wyszukiwanie ciągów znaków w nazwach plików i w zawartości plików, indeksowanie plików, wsparcie dla wyrażeń regularnych oraz indeksowania plików, możliwość wykorzystania list słów kluczowych (także wielu jednocześnie),
• ekstrakcja informacji o aktywności użytkowników w popularnych przeglądarkach internetowych,
• analiza rejestru – narzędzie RegRipper pomaga zidentyfikować m.in. ostatnio otwierane dokumenty czy nośniki podłączane przez USB,
• analiza plików LNK – informuje o skrótach i ostatnio używanych dokumentach,
• analiza e-mail –ekstrakcja informacji z wiadomości e-mail w formacie MBOX (używa go np. Mozilla Thunderbird),
• moduł dedykowany dla analizy danych z systemu Android – pozwala m.in. na ekstrakcję wiadomości SMS, kontaktów, logów rozmów itd.,
• pozyskiwanie danych geolokalizacyjnych i informacji o aparacie za pomocą analizy metadanych EXIF zapisanych w obrazach cyfrowych (np. pliki JPEG),
• możliwość sortowania i grupowania pozyskanych plików na podstawie ich typów (łatwiej przejrzeć np. wszystkie dokumenty czy zdjęcia),
• odzyskiwanie skasowanych plików przy użyciu narzędzia Photo Rec,
• ekstrakcja ciągów znaków (ze wsparciem dla kodowania Unicode) z „pustej” czy też nieprzypisanej przestrzeni nośnika (znajdują się w niej cenne pozostałości po usuniętych danych) oraz z plików nieznanego typu,
• wykrywanie typów plików w oparciu o sygnatury, korekcja błędów związanych z nieprawidłowym rozpoznaniem rozszerzeń plików,
• możliwość wyliczenia sum kontrolnych pozyskanych plików w celu odfiltrowania „dobrych” plików poprzez sprawdzenie ich sum w bibliotece National Software Reference Library, jak również wykrycia „złych” plików na podstawie baz HashKeeper, md5sum oraz EnCase,
• moduł oznaczający pliki i katalogi według ich wybranych właściwości (określonych przez użytkownika programu),
• wykrywanie śladów złośliwego oprogramowania i działalności hakerów za pomocą platformy STIX,
• ekstrakcja plików, tagowanie plików i dodawanie do nich komentarzy,
• wbudowany odtwarzacz audio/wideo, zintegrowana przeglądarka plików graficznych, możliwość wyświetlania miniaturek odnalezionych obrazów,
• generowanie i edytowanie raportów dostosowanych do wymogów informatyki śledczej – raporty zapisywane w formatach HTML, XML, MS Excel, TXT, Google Earth/KML, STIX i TSK Body File,
• funkcjonalność Autopsy można rozszerzyć za pomocą dodatkowych wtyczek (dostępne są moduły zewnętrznych autorów),
• program wykorzystuje wiele wątków i rdzeni procesora, tak więc działa z dużą wydajnością (wszystko zależy oczywiście od zakresu analizy i rozmiarów danych źródłowych).
Interfejs graficzny Autopsy jest nowoczesny i przyjemny dla oka. Program cechuje się wysoką intuicyjnością obsługi, oczywiście nieraz wymaga wiedzy specjalistycznej, jednak niekoniecznie przy zastosowaniu wszystkich funkcji. Mniej doświadczeni użytkownicy mogą znaleźć instrukcje m.in. w rozbudowanej Wiki online oraz na forum projektu.
Uwaga! Od wersji 3.x.x Autopsy jest udostępniany na licencji Apache 2.0, jednak niektóre narzędzia zintegrowane z programem mają inne licencje (prawdopodobnie wszystkie licencje są darmowe).
W chwili tworzenia opisu tylko starsze wersje programu (sprzed wersji 3) są dostępne także dla systemów Linuks oraz Mac OS X.
Producent: Brian Carrier, Basis Technology Corp. i społeczność
Licencja: GNU GPL (darmowa) System Operacyjny: Windows XP/Vista/7/8/10
Oceń program: Twoja ocena: - 8 użytkowników:
-/5
Ocena:4.3 (8 głosów)
Strefa Download programu Autopsy
Autopsy 4.19.2
Wersja stabilna 32-bitowa
1259 MB | 2021-12-28
Autopsy 4.19.3
Wersja stabilna 64-bitowa
1290 MB | 2021-12-28
Ilość pobrań: 1673 | W tym miesiącu: 4 | W poprzednim miesiącu: 5
Jedno z ważniejszych narzędzi w ramach informatyki śledczej, oczywiście tych darmowych narzędzi. Warto wspomnieć o FTK imager firmy Accessdata do wykonywania kopii dysków.