→
Hvad det er
Autopsy er en sags-baseret GUI til dead-box forensics: du tilføjer et disk-image som datakilde, kører "ingest modules" der automatisk udtrækker artefakter, og analyserer resultaterne i en tidslinje og et trævisning. Motoren er The Sleuth Kit (TSK) — kommandolinjeværktøjerne kan også køres direkte.
Platform-realitet: Autopsy er primært udviklet til Windows og er klart mest stabil der. Linux-versionen kan bygges men kræver mere opsætning (manuel TSK + Java-afhængigheder). Til seriøst sagsarbejde anbefales Windows-builden — fx i et isoleret analyse-VM eller KASM-workspace.
→
Windows-installation
anbefaletDownload MSI fra autopsy.com. Installeren bundter TSK, Java-runtime og Solr-tekstindeksering.
Trin
# 1. Hent MSI fra autopsy.com/download
# 2. Verificér SHA-256 mod siden
# 3. Kør installer (bundter TSK + JRE + Solr)
# 4. Start → New Case → angiv sagsnavn + efterforskerAllokér rigeligt RAM/disk — Solr-indeksering af store images er tungt.
Best practice: Arbejd altid på en kopi af image'et, aldrig originalen. Brug write-blocker ved akvisition og dokumentér hashes (MD5+SHA256) før og efter. Autopsy verificerer image-hash automatisk ved tilføjelse.
→
Linux-installation
avanceretKræver The Sleuth Kit, Java og bygning fra kilde. Forvent mere fejlfinding end på Windows.
Afhængigheder (Ubuntu/Zorin)
sudo apt update
sudo apt install sleuthkit openjdk-17-jdk -yAutopsy
# hent ZIP fra github.com/sleuthkit/autopsy/releases
unzip autopsy-*.zip && cd autopsy-*
bash unix_setup.sh
./bin/autopsyAlternativ på Linux: Hvis Autopsy-GUI'en driller, så brug Sleuth Kit CLI direkte — samme motor, fuldt scriptbart, og ofte hurtigere til målrettede opgaver.
→
Sags-workflow
Den typiske rækkefølge fra image til rapport.
| Trin | Hvad sker der |
|---|---|
| New Case | Opret sag med navn, nummer og efterforsker — alt arbejde isoleres pr. sag |
| Add Data Source | Tilføj disk-image (E01/DD/VMDK), lokal disk eller logisk fil-mappe |
| Configure Ingest | Vælg moduler der skal køre automatisk under import |
| Analyze | Gennemgå træ: filtyper, slettede filer, web-historik, EXIF, keyword-hits |
| Timeline | Visualisér hændelser kronologisk (MAC-times, web, log-events) |
| Tag & Report | Markér fund, eksportér rapport (HTML/Excel/KML) |
→
Ingest-moduler
Moduler der automatisk udtrækker artefakter ved import. De vigtigste:
| Modul | Funktion |
|---|---|
| Hash Lookup | Match filer mod kendte hash-sæt (NSRL, custom whitelist/blacklist) |
| Keyword Search | Indeksér tekst og søg på ord/regex/mønstre (kort, email, URL) |
| File Type ID | Identificér filtyper via signatur (ikke endelse) |
| Extension Mismatch | Flag filer hvor endelse ikke matcher reelt indhold |
| Recent Activity | Web-historik, USB-enheder, installeret software, kørte programmer |
| EXIF Parser | Udtræk metadata/GPS fra billeder |
| PhotoRec Carver | Carve slettede filer fra unallocated space |
| Email Parser | Parse PST/MBOX/EML mailbokse |
| Android / iOS Analyzer | Mobil-artefakter (kræver tilføjelser) |
| YARA | Kør YARA-regler mod filindhold under ingest |
→
The Sleuth Kit CLI
scriptbartSamme motor som Autopsy, men på kommandolinjen — ideelt på Linux og i automatisering.
| Kommando | Funktion |
|---|---|
mmls image.dd | Vis partitionstabel / layout |
fsstat -o OFFSET image.dd | Filsystem-detaljer for en partition |
fls -r -o OFFSET image.dd | Liste filer/mapper rekursivt (inkl. slettede) |
icat -o OFFSET image.dd INODE | Udtræk filindhold via inode-nummer |
istat -o OFFSET image.dd INODE | Metadata for en bestemt inode |
blkcat / blkls | Læs / udtræk rå data-blokke (unallocated) |
mactime -b body.txt | Byg tidslinje fra fls/ils bodyfile |
tsk_recover -o OFFSET image.dd OUT/ | Bulk-recover alle filer til mappe |
tsk_gettimes image.dd | Generér bodyfile til mactime direkte |
Tidslinje på CLI:
tsk_gettimes image.dd > bodyfile && mactime -b bodyfile -d > timeline.csv — giver en sorterbar CSV uden at åbne GUI'en.