以下はAutopsy 3.xでNSRLJPを使うための手順です。
ツール - オプションのメニューを開いて、Hash DatabaseタブのImport Databa...のボタンをクリックします。
Browseの項目でNSRLJPのNSRLFile.txtを指定します。Select the type of databaseの項目はNSRLを選択してEnable for ingestにもチェックを入れてOKを押します。
Autopsyで使うためにIndexを生成する必要があります。Indexのボタンを押すと数秒-数十秒で処理が終わります。
以上でハッシュデータベースが使える状態になりました。Autopsyでケースを生成、処理を進める際に、Hash Lookupのモジュールにチェックを入れておきます。NSRL Database: Enabledとなっていることを確認してください。
Autopsyでは左側のペインでData SourcesやViewsを選択して、右側のペインにファイル、フォルダの情報を表示しますが、この内のKnownカラムに処理結果が反映されています。
Knownのカラム位置で右クリックをして、unknownのオブジェクトのみを表示するようにフィルタすることも可能です。
Add new comment