Autopsy (yazılım)
Autopsy, The Sleuth Kit'te kullanılan açık kaynak kodlu programların ve eklentilerin birçoğunu devreye almayı kolaylaştıran bir bilgisayar yazılımıdır.[1] Grafiksel kullanıcı arayüzü, ilgili birimin/diskin adli aramasından elde edilen sonuçları göstererek araştırmacıların ilgili veri bölümlerini işaretlemesini kolaylaştırır. Araç, büyük ölçüde Basis Technology Corp. tarafından topluluktan programcıların yardımıyla sürdürülmektedir. Şirket, ürünü kullanmak için destek hizmetleri ve eğitim satmaktadır.[2]
Araç, şu ilkeler göz önünde bulundurularak tasarlanmıştır:
- Genişletilebilir — kullanıcı, temel veri kaynağının tamamını veya bir kısmını analiz edebilen eklentiler oluşturarak yeni işlevler ekleyebilmelidir.
- Merkezi — araç, tüm özelliklere ve modüllere erişim için standart ve tutarlı bir mekanizma sunmalıdır.
- Kullanım Kolaylığı — Autopsy Tarayıcısı, kullanıcıların aşırı tekrar konfigürasyon yapmadan araştırma adımlarını yinelemelerini kolaylaştırmak için sihirbazlar ve tarih bazlı araçlar sunmalıdır.
- Çok Kullanıcılı — araç tek bir araştırmacı tarafından kullanılabilmeli veya bir ekibin çalışmasını koordine edebilmelidir.
Süreç[değiştir | kaynağı değiştir]
Autopsy, tüm dosyaların özetlerini alarak, standart arşivleri (ZIP, JAR vb.) açarak, EXIF değerlerini çıkararak ve anahtar kelimeleri bir dizine koyarak ana dosya sistemlerini (NTFS, FAT, ExFAT, HFS+, Ext2/Ext3/Ext4, YAFFS2) analiz eder. Standart e-posta formatları veya kişi kartvizit dosyaları (vCard) gibi bazı dosya türleri de ayrıştırılır ve kataloglanır.
Araştırmacılar, bu indekslenmiş dosyalarda bu diski kullanan bilgisayarda son gerçekleşmiş aktiviteler için arama yapabilir ya da önemli son aktiviteleri özetleyen HTML veya PDF formatında bir rapor oluşturabilir. Zaman kısaysa, kullanıcılar önce en önemli dosyaları analiz etmek için kuralları kullanan (şablon benzeri) önceliklendirme özelliklerini etkinleştirebilir. Autopsy, bu dosyaların kısmi bir görüntüsünü VHD formatında kaydedebilir.
Korelasyon[değiştir | kaynağı değiştir]
Birden fazla makine veya dosya sistemi ile çalışan araştırmacılar, telefon numaralarını, e-posta adreslerini, dosyaları veya birden fazla yerde bulunabilecek diğer ilgili kritik verileri işaretlemelerine olanak tanıyan merkezi bir veri deposu oluşturabilirler. SQLite veya PostgreSQL veri tabanı bilgileri depolar, böylece araştırmacılar isimlerin, alan adlarının, telefon numaralarının veya USB kayıt defteri girdilerinin tüm girdilerini bulabilirler.
Dil[değiştir | kaynağı değiştir]
Autopsy'nin 2. sürümü, Perl dilinde yazılmıştır ve Linux, Unix, macOS ve Windows dahil olmak üzere tüm büyük platformlarda çalışır. Diski analiz etmek için The Sleuth Kit aracından faydalanır. Sürüm 2, GNU GPL 2.0 altında yayımlanmıştır.[3]
Autopsy 3.0, NetBeans platformu kullanılarak Java dilinde yazılmıştır. Apache lisansı 2.0 altında yayımlanmıştır..[3]
Autopsy 4.0, Windows, Linux ve macOS üzerinde çalışır.
Autopsy, çeşitli lisanslara sahip bir dizi kütüphaneye bağlıdır.[3] Bilgi depolamak için SQLite ve PostgreSQL veri tabanları ile çalışır. Anahtar kelimeleri aramak için indeksler Lucene / SOLR ile oluşturulmuştur.
Ayrıca bakınız[değiştir | kaynağı değiştir]
Kaynakça[değiştir | kaynağı değiştir]
- ^ "The Sleuth Kit (TSK) & Autopsy: Open Source Digital Forensics Tools". Brian Carrier. 17 Nisan 2003 tarihinde kaynağından arşivlendi.
- ^ "Digital Forensics". Basis Technology Corp. 23 Aralık 2013. 17 Ekim 2006 tarihinde kaynağından arşivlendi.
- ^ a b c "Autopsy: License". Brian Carrier. 16 Eylül 2008 tarihinde kaynağından arşivlendi.
Dış bağlantılar[değiştir | kaynağı değiştir]
- "Autopsy official website". 18 Ekim 2000 tarihinde kaynağından arşivlendi.
- "The Sleuth Kit official website". 17 Nisan 2003 tarihinde kaynağından arşivlendi.