Autopsy

Использование специализированных бесплатных программ при производстве СКТЭ (общие вопросы)

Autopsy

Сообщение FUF » 26 апр 2014, 19:38

Патч для Autopsy до версии 2.24-1 (относительно версии 2.24): https://github.com/msuhanov/autopsy-2.24-patch/blob/master/autopsy-2.24-1.patch.

Привязывает Autopsy к TSK версии 4.1.3 (не ниже), добавляет корректную поддержку файловых систем Ext4, исправляет поддержку таблиц разделов Sun VTOC, исправляет поддержку файловых систем HFS, а также исправляет поддержку таймлайнов, содержащих нулевые временные метки (отображаются как 01/01/1970).

Если кто-то использует под Линуксом Autopsy, то радуйтесь :-)

Применять так:
1. копируете файл патча в директорию "autopsy-2.24";
2. выполняете в этой директории "patch -p1 <autopsy-2.24-1.patch".
Последний раз редактировалось FUF 15 мар 2015, 02:08, всего редактировалось 1 раз.
FUF
Член клуба
 
Сообщения: 552
Зарегистрирован: 11 дек 2008, 19:25
Откуда: Москва
Благодарил (а): 0 раз.
Поблагодарили: 13 раз.

Re: Autopsy 2.24-1

Сообщение Igor Mikhaylov » 27 апр 2014, 06:35

Надо на форуме уже кнопочку "Спасибо" делать.
Digital Evidences is the international board about digital evidences.

http://weare4n6.com
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6581
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 106 раз.
Поблагодарили: 132 раз.

Re: Autopsy 2.24-1

Сообщение Константин » 09 май 2014, 11:07

Igor Michailov писал(а):Надо на форуме уже кнопочку "Спасибо" делать.


Поддерживаю.

[[ спасибо ]]
Whatever happens, we have got
The Maxim gun, and they have not
Константин
Член клуба
 
Сообщения: 471
Зарегистрирован: 26 июн 2008, 19:59
Откуда: г. Донецк
Благодарил (а): 1 раз.
Поблагодарили: 0 раз.

Re: Autopsy

Сообщение Igor Mikhaylov » 23 авг 2014, 06:14

BasisTech писал(а):Free and open source Windows-based digital forensics software Autopsy 3.1 is out!

Download it now: http://www.basistech.com/digital-forensics/autopsy/

An overview of some of the big changes since 3.0.10 (big enough to warrant the first minor release):

• Multi-threaded pipelines (configurable to take advantage of your beefy machine specs, we've significant performance improvements in our tests)
• File type ingest module (magic bytes detection)
• File extension mismatch ingest module (configurable extensions to signatures)
• Android ingest module (contacts, call logs, messages)
• KML report module (EXIF information from JPEGs to Google Earth)
• Tags can be deleted (...long awaited)
• Hash databases can be created and maintained (multi-select add to hash databases)

In addition, a new module free for law enforcement will be available next week from Basis Technology:

Law Enforcement Bundle: C4ALL and ProjectVic Hash Database integration

Some other stuff in the works for Autopsy 3.1:

* Python module support (write your own modules in Python)
*Advanced Timeline Visualization
*Advanced Image Analysis and Categorization
Digital Evidences is the international board about digital evidences.

http://weare4n6.com
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6581
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 106 раз.
Поблагодарили: 132 раз.

Re: Autopsy

Сообщение fobos » 08 июн 2016, 18:19

Здравствуйте господа!

Суть такова - имеется некий условный файл, время создания которого при просмотре встроенными средствами Windows и программами JpegSnoop и ShowEXIF отображается как, например, 10:11:12. Если же мы посмотрим дату создания данного файла средствами Autopsy, то она будет иметь значение 09:11:12, то есть разница в один час. По факту получается что в сгенерированном Autopsy отчете у нас указано одно время, а при просмотре вкладки "подробно" свойств приложенного к отчету файла мы видим другое. Собственно вопрос - чем может быть обусловленна данная разница во времени?
fobos
Член клуба
 
Сообщения: 29
Зарегистрирован: 10 фев 2011, 19:53
Откуда: Ульяновск
Благодарил (а): 7 раз.
Поблагодарили: 2 раз.

Re: Autopsy

Сообщение Igor Mikhaylov » 08 июн 2016, 19:00

Разные часовые пояса?
Digital Evidences is the international board about digital evidences.

http://weare4n6.com
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6581
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 106 раз.
Поблагодарили: 132 раз.

Re: Autopsy

Сообщение fobos » 08 июн 2016, 19:38

Я думал об этом, даже поэксперементировал со сменой пояса в системе и созданием отчетов, но мне непонятно как это должно сказаться на дате уже созданного файла. Autopsy берет временные атрибуты из структур $STANDARD_INFORMATION и/или $FILE_NAME файловой системы исследуемого образа/НЖМД, ОС Windows ПК на котором файл был создан параллельно с генерацией отчета соответственно смотрит уже в своей ФС, так как мог приплюсоваться один час/два/etc? Завтра я хочу окунуться в двухтомник Руссиновича про богатый внутренний мир Windows и msdn, но не уверен что найду там ответы на свои вопросы. Если Вы ткнете носом откуда берется этот злосчастный час буду очень благодарен!
fobos
Член клуба
 
Сообщения: 29
Зарегистрирован: 10 фев 2011, 19:53
Откуда: Ульяновск
Благодарил (а): 7 раз.
Поблагодарили: 2 раз.

Re: Autopsy

Сообщение kfv » 08 июн 2016, 20:15

летнее /зимнее время
Видишь суслика?
- Нет.
А он есть.
Аватара пользователя
kfv
Член клуба
 
Сообщения: 737
Зарегистрирован: 23 янв 2008, 08:59
Откуда: Омск
Благодарил (а): 22 раз.
Поблагодарили: 18 раз.

Re: Autopsy

Сообщение fobos » 08 июн 2016, 21:01

kfv писал(а):летнее /зимнее время


Ну в принципе если Autopsy указывает время в стандарте GMT (если), а в ФС NTFS, если верить Брайну Кэрриэ, используется стандарт UTC, в котором время не переводится ни зимой, ни летом, а вместо этого меняется смещение относительно UTC, то в целом можно предположить, что GMT +3/UTC +3 чудесным образом превратилось в UTC +4 во время генерации отчета. Безусловно, это всего лишь мои домыслы, если я неправ то, надеюсь, меня кто-нибудь поправит.

Большое спасибо Igor Mikhaylov и kfv!
fobos
Член клуба
 
Сообщения: 29
Зарегистрирован: 10 фев 2011, 19:53
Откуда: Ульяновск
Благодарил (а): 7 раз.
Поблагодарили: 2 раз.


Вернуться в Open Source в СКТЭ

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1