- video (0)

Как видите, утилит предостаточно, еще больше у них опций, что, согласитесь, может запутать новичка или человека, не привыкшего к командной строке, что требует некоторое время на освоение и сужает круг пользователей. Поэтому дополнительно к Sleuth Kit был создан инструмент визуализации Autopsy Forensic Browser (http://www.sleuthkit.org/autopsy/index.php).

После распаковки архива и запуска команды make, в ходе работы которой необходимо ответить на вопросы расположения Sleuth Kit, необходимости закачки библиотек NSRL и пути (Evidence Locker), куда будут складываться файлы отчетов, логи и данные. Последние могут потребовать довольно много свободного места, поэтому укажите на раздел посвободнее. После чего запускаем, опционально можно указать порт.

# ./autopsy

============================================================

                       Autopsy Forensic Browser

                  http://www.sleuthkit.org/autopsy/

                             ver 1.75

============================================================

Evidence Locker: /home/work/

Start Time: Sat Feb  7 20:42:11 2004

Remote Host: localhost

Local Port: 9999

Open an HTML browser on the remote host and paste this URL in it:

        http://localhost:9999/4614372704092601581/autopsy

Keep this process running and use <ctrl-c> to exit

Вставив строку с URL в браузер, попадаем в окно (см. рис. 2), заметьте, доступна помощь (рис. 3).

Рисунок 2

Рисунок 3

Первоначально требуется создать базу данных образов, взятых с различных компьютеров командой dd или dls (unrm), на которых будут проводиться исследования. Указываем на образ, с которым будем работать. Для этого жмем на New Case и заполняем пункты, здесь необходимо ввести название и короткое описание, чтобы затем можно было без проблем найти нужный образ.