mirror of
https://github.com/overcuriousity/autopsy-flatpak.git
synced 2025-07-06 21:00:22 +00:00
Translate : quick_start_guide page
This commit is contained in:
parent
bb6268dfbe
commit
01bf852133
@ -1,150 +1,148 @@
|
|||||||
/*! \page quick_start_guide Quick Start Guide
|
/*! \page quick_start_guide Guide de démarrage rapide
|
||||||
|
|
||||||
[TOC]
|
[TOC]
|
||||||
|
|
||||||
|
|
||||||
\section s1 Cases and Data Sources
|
\section s1 Cas et sources de données
|
||||||
|
|
||||||
Autopsy organizes data by <strong>case</strong>. Each case can have one or more <strong>data sources</strong>, which can be a disk image, a set of logical files, a USB-connected device, etc.
|
Autopsy organise les données par <strong>cas</strong>. Chaque cas peut avoir une ou plusieurs <strong>sources de données</strong>, qui peut être une image disque, un ensemble de fichiers logiques, un périphérique connecté via USB, etc...
|
||||||
|
|
||||||
Cases can either be single-user or multi-user. Multi-user cases allow several examiners to review the data at the same time and collaborate, but require some additional open source servers to be configured.
|
Les cas peuvent être mono-utilisateur ou multi-utilisateurs. Les cas multi-utilisateurs permettent à plusieurs analystes d'examiner les données en même temps et de collaborer, mais nécessitent la configuration de serveurs open source supplémentaires.
|
||||||
|
|
||||||
When you have several data sources and are deciding about creating creating a case, consider:
|
Lorsque vous disposez de plusieurs sources de données et que vous décidez de créer un cas, considérez les faits suivants:
|
||||||
- You can have only one case open at a time
|
- Vous ne pouvez ouvrir qu'un seul cas à la fois
|
||||||
- Reports are generated at a case-level
|
- Les rapports sont générés au niveau du cas
|
||||||
- The application can slow down when there are many large data sources in the same case
|
- L'application peut ralentir lorsqu'il y a de nombreuses sources de données volumineuses dans le même cas
|
||||||
|
|
||||||
\subsection s1a Creating a Case
|
\subsection s1a Créer un cas
|
||||||
To create a case, use either the "Create New Case" option on the Welcome screen or from the "Case" menu. This will start the <strong>New Case Wizard</strong>. You will need to supply it with the name of the case and a directory to store the case results into. You can optionally provide case numbers and reviewer names.
|
Pour créer un cas, utilisez soit l'option "Create New Case" sur l'écran de bienvenue, soit à partir du menu "Case". Cela lancera l'<strong>assistant de création d'un nouveau cas</strong>. Vous devrez lui fournir le nom du cas et un répertoire dans lequel stocker les résultats du cas. Vous pouvez éventuellement fournir le numéro de dossier et le nom de l'analyste.
|
||||||
|
|
||||||
\subsection s1b Adding a Data Source
|
\subsection s1b Ajouter une source de données
|
||||||
The next step is to add an input data source to the case. The <strong>Add Data Source Wizard</strong> will start automatically after the case is created or you can manually start it from the "Case" menu or toolbar. You will need to choose the type of input data source to add (image, local disk, or logical files and folders). Next, supply it with the location of the source to add.
|
L'étape suivante consiste à ajouter une source de données d'entrée au cas. L'<strong>assistant d'ajout d'une source de données</strong> démarre automatiquement une fois le cas créé ou vous pouvez le démarrer manuellement à partir du menu "Case" ou de la barre d'outils. Vous devrez choisir le type de source de données à ajouter (image, disque local ou fichiers et dossiers logiques). Ensuite, indiquez-lui l'emplacement de la source à ajouter.
|
||||||
|
|
||||||
|
|
||||||
- For a disk image, browse to the first file in the set (Autopsy will find the rest of the files). Autopsy currently supports E01 and raw (dd) files.
|
- Pour une image disque, accédez au premier fichier image (Autopsy trouvera le reste des fichiers). Autopsy prend actuellement en charge les fichiers E01 et raw (dd).
|
||||||
- For local disk, select one of the detected disks. Autopsy will add the current view of the disk to the case (i.e. snapshot of the meta-data). However, the individual file content (not meta-data) does get updated with the changes made to the disk. You can optionally create a copy of all data read from the local disk to a VHD file, which can be useful for triage situations. Note, you may need run Autopsy as an Administrator to detect all disks.
|
- Pour un disque local, sélectionnez l'un des disques détectés. Autopsy ajoutera la vue actuelle du disque au cas (c'est-à-dire un instantané des méta-données). Cependant, le contenu des fichiers individuels (pas les métadonnées) est mis à jour avec les modifications apportées au disque. Vous pouvez éventuellement créer une copie de toutes les données lues à partir du disque local vers un fichier VHD, ce qui peut être utile pour les situations de triage. Remarquez bien que vous devrez peut-être exécuter Autopsy en tant qu'administrateur pour détecter tous les disques.
|
||||||
- For logical files (a single file or folder of files), use the "Add" button to add one or more files or folders on your system to the case. Folders will be recursively added to the case.
|
- Pour les fichiers logiques (un seul fichier ou dossier de fichiers), utilisez le bouton "Add" pour ajouter au cas un ou plusieurs fichiers ou dossiers de votre système. Les dossiers seront ajoutés de manière récursive au dossier.
|
||||||
|
|
||||||
Next it will prompt you to configure the Ingest Modules.
|
Ensuite, Autopsy vous demandera de configurer les Ingest Modules (modules d'acquisition).
|
||||||
|
|
||||||
|
|
||||||
\subsection s1c Ingest Modules
|
\subsection s1c Ingest Modules (modules d'acquisition)
|
||||||
|
|
||||||
Ingest modules are responsible for analyzing the data source contents and will run in the background. The Ingest Modules analyze files in a prioritized order so that files in a user's directory are analyzed before files in other folders. Ingest modules can be developed by third-parties.
|
Les modules d'acquisition sont chargés de l'analyse du contenu de la source de données et s'exécuteront en arrière-plan. Les modules d'acquisition analysent les fichiers dans un ordre de priorité afin que les fichiers situés dans le répertoire d'un utilisateur soient analysés avant les fichiers dans d'autres dossiers. Il existe des modules d'acquistion tiers qui peuvent être ajoutés à Autopsy.
|
||||||
|
|
||||||
The standard ingest modules included with Autopsy are:
|
Les modules d'acquisition standard inclus avec Autopsy sont:
|
||||||
|
- <strong>\subpage recent_activity_page</strong> extrait l'activité de l'utilisateur telle qu'elle est enregistrée par les navigateurs Web et le système d'exploitation. Exécute également "Regripper" sur les ruches de la Base de registre.
|
||||||
|
- <strong>\subpage hash_db_page</strong> utilise des ensembles de hachage pour ignorer les fichiers connus du NIST NSRL et signaler les fichiers défavorablement connus. Utilisez le bouton "Global Settings" pour ajouter et configurer les ensembles de hachage à utiliser pendant ce processus. Vous obtiendrez des informations sur les accès aux fichiers défavorablement connus au fur et à mesure de l'acquisition. Vous pouvez ultérieurement ajouter des ensembles de hachage via le menu Tools -> Options dans l'interface utilisateur principale. Vous pouvez télécharger un index du NIST NSRL à partir de http://sourceforge.net/projects/autopsy/files/NSRL/
|
||||||
|
- <strong>\subpage file_type_identification_page</strong> détermine les types de fichiers en fonction de leurs signatures et les regroupe en fonction de leur type MIME. Il stocke les résultats dans le Blackboard et de nombreux modules en dépendent. Il utilise la bibliothèque open source Tika. Vous pouvez définir vos propres types de fichiers personnalisés dans Tools, Options, File Types.
|
||||||
|
- <strong>\subpage extension_mismatch_detector_page</strong> utilise les résultats du module "File Type Identification" et marque les fichiers dont l'extension n'est pas traditionnellement associée au type de fichier détecté. Ignore les fichiers "connus" (NSRL). Vous pouvez personnaliser les types MIME et les extensions de fichier par type MIME dans Tools, Options, File Extension Mismatch.
|
||||||
|
- <strong>\subpage embedded_file_extractor_page</strong> ouvre les fichiers ZIP, RAR, ainsi que d'autres formats d'archive, DOC, DOCX, PPT, PPTX, XLS et XLSX et renvoie les fichiers intégrés dans ces derniers via la chaîne d'acquisition pour analyse.
|
||||||
|
- <strong>\subpage EXIF_parser_page</strong> extrait les informations EXIF des fichiers JPEG et publie les résultats dans l'arborescence de l'interface utilisateur principale. Convertit également les fichiers HEIC/HEIF au format JPEG et extrait les données EXIF de ces JPEG.
|
||||||
|
- <strong>\subpage keyword_search_page</strong> utilise des listes de mots clés pour identifier les fichiers contenant des mots spécifiques. Vous pouvez sélectionner les listes de mots clés pour faire des recherches automatisées et vous pouvez créer de nouvelles listes à l'aide du bouton "Global Settings". Notez que la recherche par mot-clé vous permet toujours d'effectuer des recherches une fois l'acquisition terminée. Les mots clés inclus dans les listes que vous avez sélectionnées lors de l'acquisition seront recherchés à intervalles réguliers et vous obtiendrez les résultats en temps réel. Vous n'avez pas besoin d'attendre que tous les fichiers soient indexés avant d'effectuer une recherche par mot-clé, mais vous n'obtiendrez que les résultats ressortant de fichiers qui ont déjà été indexés lorsque vous effectuez votre recherche.
|
||||||
|
- <strong>\subpage email_parser_page</strong> identifie les fichiers Thunderbird MBOX et les fichiers au format PST en fonction des signatures de fichiers, en extrayant les e-mails, et en ajoutant les résultats au Blackboard.
|
||||||
|
- <strong>\subpage encryption_page</strong> recherche les fichiers chiffrés.
|
||||||
|
- <strong>\subpage interesting_files_identifier_page</strong> recherche des fichiers et des répertoires en fonction des règles spécifiées par l'utilisateur dans Tools, Options, Interesting Files. Il fonctionne comme un "module d'alerte" de fichier. Il génère des messages dans la boîte de notification lorsque des fichiers spécifiés sont trouvés.
|
||||||
|
- <strong>\subpage cr_ingest_module</strong> ajoute des hachages de fichiers et d'autres propriétés extraites à un référentiel central pour une future corrélation et pour marquer les fichiers notables précédemment analysés.
|
||||||
|
- <strong>\subpage photorec_carver_page</strong> effectue du carving de fichiers sur l'espace non alloué et les envoie à travers la chaîne de traitement des fichiers.
|
||||||
|
- <strong>\subpage vm_extractor_page</strong> extrait les données des fichiers de machine virtuelle.
|
||||||
|
- <strong>\subpage data_source_integrity_page</strong> calcule une somme de contrôle sur les fichiers E01 et la compare avec la somme de contrôle interne du fichier E01 pour s'assurer qu'elles correspondent.
|
||||||
|
- <strong>\subpage drone_page</strong> extrait les données des fichiers de drone.
|
||||||
|
- <strong>\subpage plaso_page</strong> utilise Plaso pour créer des évènements de la \ref timeline_page "Timeline" (Chronologie).
|
||||||
|
- <strong>\subpage yara_page</strong> utilise un ensemble de règles Yara pour rechercher dans les fichiers des modèles textuels ou binaires.
|
||||||
|
- <strong>\subpage android_analyzer_page</strong> et <strong>\subpage aleapp_page</strong> vous permet d'analyser les éléments classiques de systèmes Android. Place des artefacts dans le BlackBoard.
|
||||||
|
- <strong>\subpage ileapp_page</strong> extrait les données des sources de données iOS.
|
||||||
|
- <strong>\subpage gpx_page</strong> extrait les données de géolocalisation des fichiers .gpx.
|
||||||
|
|
||||||
- <strong>\subpage recent_activity_page</strong> extracts user activity as saved by web browsers and the OS. Also runs Regripper on the registry hive.
|
Lorsque vous sélectionnez un module, vous aurez la possibilité de modifier ses paramètres. Par exemple, vous pouvez configurer les listes de recherche de mots clés à utiliser lors de l'acquisition et les ensembles de hachage à utiliser. Reportez-vous à l'aide de chaque module pour plus de détails sur leurs configurations.
|
||||||
- <strong>\subpage hash_db_page</strong> uses hash sets to ignore known files from the NIST NSRL and flag known bad files. Use the "Advanced" button to add and configure the hash sets to use during this process. You will get updates on known bad file hits as the ingest occurs. You can later add hash sets via the Tools -> Options menu in the main UI. You can download an index of the NIST NSRL from http://sourceforge.net/projects/autopsy/files/NSRL/
|
|
||||||
- <strong>\subpage file_type_identification_page</strong> determines file types based on signatures and reports them based on MIME type. It stores the results in the Blackboard and many modules depend on this. It uses the Tika open source library. You can define your own custom file types in Tools, Options, File Types.
|
|
||||||
- <strong>\subpage extension_mismatch_detector_page</strong> uses the results from the File Type Identification and flags files that have an extension not traditionally associated with the file's detected type. Ignores 'known' (NSRL) files. You can customize the MIME types and file extensions per MIME type in Tools, Options, File Extension Mismatch.
|
|
||||||
- <strong>\subpage embedded_file_extractor_page</strong> opens ZIP, RAR, other archive formats, Doc, Docx, PPT, PPTX, XLS, and XLSX and sends the derived files from those files back through the ingest pipeline for analysis.
|
|
||||||
- <strong>\subpage EXIF_parser_page</strong> extracts EXIF information from JPEG files and posts the results into the tree in the main UI. Also converts HEIC/HEIF files to JPEG format and extracts EXIF data from those JPEGs.
|
|
||||||
- <strong>\subpage keyword_search_page</strong> uses keyword lists to identify files with specific words in them. You can select the keyword lists to search for automatically and you can create new lists using the "Advanced" button. Note that with keyword search, you can always conduct searches after ingest has finished. The keyword lists that you select during ingest will be searched for at periodic intervals and you will get the results in real-time. You do not need to wait for all files to be indexed before performing a keyword search, however you will only get results from files that have already been indexed when you perform your search.
|
|
||||||
- <strong>\subpage email_parser_page</strong> identifies Thunderbird MBOX files and PST format files based on file signatures, extracting the e-mails from them, adding the results to the Blackboard.
|
|
||||||
- <strong>\subpage encryption_page</strong> looks for encrypted files.
|
|
||||||
- <strong>\subpage interesting_files_identifier_page</strong> searches for files and directories based on user-specified rules in Tools, Options, Interesting Files. It works as a "File Alerting Module". It generates messages in the inbox when specified files are found.
|
|
||||||
- <strong>\subpage cr_ingest_module</strong> adds file hashes and other extracted properties to a central repository for future correlation and to flag previously notable files.
|
|
||||||
- <strong>\subpage photorec_carver_page</strong> carves files from unallocated space and sends them through the file processing chain.
|
|
||||||
- <strong>\subpage vm_extractor_page</strong> extracts data from virtual machine files
|
|
||||||
- <strong>\subpage data_source_integrity_page</strong> computes a checksum on E01 files and compares with the E01 file's internal checksum to ensure they match.
|
|
||||||
- <strong>\subpage drone_page</strong> extracts data from drone files.
|
|
||||||
- <strong>\subpage plaso_page</strong> uses Plaso to create \ref timeline_page "timeline" events.
|
|
||||||
- <strong>\subpage android_analyzer_page</strong> allows you to parse common items from Android devices. Places artifacts into the BlackBoard.
|
|
||||||
- <strong>\subpage gpx_page</strong> extracts geolocation data from .gpx files.
|
|
||||||
- <strong>\subpage ileapp_page</strong> extracts data from iOS data sources.
|
|
||||||
|
|
||||||
When you select a module, you will have the option to change its settings. For example, you can configure which keyword search lists to use during ingest and which hash sets to use. Refer to the individual module help for details on configuring each module.
|
Pendant que les modules d'acquisition s'exécutent en arrière-plan, vous verrez une barre de progression en bas à droite. Vous pouvez utiliser l'interface graphique pour examiner les résultats au fur et à mesure de l'analyse et effectuer d'autres tâches dans le même temps que l'acquisition.
|
||||||
|
|
||||||
While ingest modules are running in the background, you will see a progress bar in the lower right. You can use the GUI to review incoming results and perform other tasks while ingesting at the same time.
|
\section s2 Bases de l'analyse
|
||||||
|
|
||||||
\section s2 Analysis Basics
|
Une fois que les modules d'acquisition ont commencé à analyser la source de données, vous verrez l'interface d'analyse principale. Vous pouvez choisir de rechercher des éléments spécifiques, de parcourir des dossiers spécifiques ou de consulter les résultats des modules d'acquisition.
|
||||||
|
|
||||||
After the ingest modules start to analyze the data source, you'll see the main analysis interface. You can choose to search for specific items, browse to specific folders, or review ingest module results.
|
|
||||||
|
|
||||||
\image html screenshot.PNG
|
\image html screenshot.PNG
|
||||||
|
|
||||||
You will start all of your analysis techniques from the tree on the left.
|
Vous commencerez toutes vos opérations d'analyse à partir de l'arborescence de gauche.
|
||||||
|
|
||||||
- The Data Sources root node shows all data in the case.
|
- Le nœud racine Data Sources affiche toutes les données du cas.
|
||||||
- The individual image nodes show the file system structure of the disk images or local disks in the case.
|
- Les nœuds d'image individuels montrent la structure du système de fichiers des images disque ou des disques locaux en fonction de votre cas.
|
||||||
- The LogicalFileSet nodes show the logical files in the case.
|
- Les nœuds LogicalFileSet affichent les fichiers logiques dans le cas.
|
||||||
- The Views node shows the same data from a different perspective, such as organized by file type.
|
- Le nœud Views affiche les mêmes données sous une perspective différente, par exemple, organisées par type de fichier.
|
||||||
- The Results node shows the output from the ingest modules.
|
- Le nœud Results affiche la sortie des modules d'acquisition.
|
||||||
|
|
||||||
When you select a node from the tree on the left, a list of files will be shown in the upper right. You can use the Thumbnail view in the upper right to view the pictures. When you select a file from the upper right, its contents will be shown in the lower right. You can use the tabs in the lower right to view the text of the file, an image, or the hex data.
|
Lorsque vous sélectionnez un nœud dans l'arborescence de gauche, une liste de fichiers s'affiche dans la partie supérieure droite. Vous pouvez utiliser l'onglet Thumbnail en haut gauche pour afficher les images. Lorsque vous sélectionnez un fichier dans cette partie supérieure droite, son contenu s'affiche en bas de la fenêtre. Vous pouvez utiliser les onglets de cette partie inférieure pour afficher le texte du fichier, une image ou les données hexadécimales.
|
||||||
|
|
||||||
If you are viewing files from the Views and Results nodes, you can right-click on a file to go to its file system location. This feature is useful to see what else the user stored in the same folder as the file that you are currently looking at. You can also right click on a file to extract it to the local system.
|
Si vous affichez des fichiers à partir des nœuds Views et Results, vous pouvez cliquer avec le bouton droit sur un fichier pour accéder à son emplacement dans le système de fichiers. Cette fonctionnalité est utile pour voir ce que l'utilisateur a stocké dans le même dossier que le fichier que vous regardez actuellement. Vous pouvez également cliquer avec le bouton droit sur un fichier pour l'extraire sur le système local.
|
||||||
|
|
||||||
If you want to search for single keywords, then you can use the search box in the upper right of the program. The results will be shown in a table in the upper right.
|
Si vous souhaitez rechercher des mots-clés uniques, vous pouvez utiliser la zone de recherche en haut à droite de la fenêtre du programme. Les résultats seront affichés dans un tableau en haut à droite.
|
||||||
|
|
||||||
The tree on the left as well as the table on the right have a \ref ui_quick_search feature which can be used to quickly find a visible node.
|
L'arbrorescence à gauche ainsi que le tableau à droite ont une fonction \ref ui_quick_search qui peut être utilisée pour trouver rapidement un nœud visible.
|
||||||
|
|
||||||
You can tag (bookmark) arbitrary files so that you can more quickly find them later or so that you can include them specifically in a report.
|
Vous pouvez marquer (ajouter un signet) les fichiers que vous souhaitez afin de pouvoir les retrouver plus rapidement plus tard ou de les inclure spécifiquement dans un rapport.
|
||||||
|
|
||||||
|
\section s3 Autres interfaces d'analyse
|
||||||
|
|
||||||
\section s3 Other Analysis Interfaces
|
En plus de l'interface utilisateur à 3 panneaux avec l'arborescence à gauche, il existe d'autres interfaces plus spécialisées.
|
||||||
|
|
||||||
In addition to the 3-panel UI with the tree on the left, there are other interfaces that are more specialized.
|
\subsection s3b Images/Videos
|
||||||
|
|
||||||
\subsection s3a Timeline
|
Cette galerie d'images se concentre sur l'affichage des images et des vidéos de la source de données organisées par dossier. Elle vous montrera les fichiers dès qu'ils auront été hachés et les données EXIF extraites. Vous pouvez l'ouvrir depuis le menu "Tools" ou via le bouton "Images/Videos" de la barre d'outils. Voir la section \subpage image_gallery_page pour plus de détails.
|
||||||
|
|
||||||
The Timeline feature can be opened from the "Tools" menu or the toolbar or though the "Timeline" button. This will show you file system and other events organized by time using various display techniques. See the \subpage timeline_page section for more details.
|
|
||||||
|
|
||||||
|
|
||||||
\subsection s3b Image Gallery
|
|
||||||
|
|
||||||
The Image Gallery focuses on showing the pictures and videos from the data source organized by folder. It will show you files as soon as they have been hashed and EXIF data extracted. You can open it from the "Tools" menu or through the "Image Gallery" button. See the \subpage image_gallery_page section for more details.
|
|
||||||
|
|
||||||
\subsection s3c Communications
|
\subsection s3c Communications
|
||||||
|
|
||||||
The Communications interface focuses on showing which accounts were communicated with the most and what messages were sent. It allows you to focus on certain relationships or communications within a certain date rage. You can open it from the "Tools" menu or through the "Communications" button. See the \subpage communications_page section for more details.
|
L'interface "Communications" se concentre sur l'affichage des comptes avec lesquels les communications ont le plus été effectuées et les messages qui ont été envoyés. Elle vous permet de vous concentrer sur certaines relations ou communications dans une certaine plage de date. Vous pouvez l'ouvrir depuis le menu "Tools" ou via le bouton "Communications" de la barre d'outils. Voir la section \subpage communications_page pour plus de détails.
|
||||||
|
|
||||||
\subsection s3d Geolocation
|
\subsection s3d Geolocation (Géolocalisations)
|
||||||
|
|
||||||
The Geolocation panel shows a map with markers for all geolocation results found in the case. You can open it from the "Tools" menu or through the "Geolocation" button. See the \subpage geolocation_page section for more details.
|
Le panneau "Geolocation" affiche une carte avec des marqueurs pour tous les résultats de géolocalisation trouvés dans le cas. Vous pouvez l'ouvrir depuis le menu "Tools" ou via le bouton "Geolocation" de la barre d'outils. Voir la section \subpage geolocation_page pour plus de détails.
|
||||||
|
|
||||||
\subsection s3e Discovery
|
\subsection s3a Timeline (Chronologie)
|
||||||
|
|
||||||
The Discovery panel allows you to search for different types of data within a case and display it in an easily reviewable form. You can open it from the "Tools" menu or through the "Discovery" button. See the \subpage discovery_page section for more details.
|
La fonction "Timeline" peut être ouverte à partir du menu "Tools" ou via le bouton "Timeline" de la barre d'outils. Cela vous permettra de voir le système de fichiers et d'autres événements organisés par heure à l'aide de diverses techniques d'affichage. Voir la section \subpage timeline_page pour plus de détails.
|
||||||
|
|
||||||
\subsection s3f Personas
|
\subsection s3e Discovery (Découverte)
|
||||||
|
|
||||||
The Personas panel is for creating and managing personas. Creating a persona allows you to associate one or more accounts with a name and other data. You can open it from the "Tools" menu or through the "Personas" button. See the \subpage personas_page section for more details.
|
Le panneau "Discovery" vous permet de rechercher différents types de données dans un cas et de les afficher sous une forme facilement intelligible. Vous pouvez l'ouvrir depuis le menu "Tools" ou via le bouton "Discovery" de la barre d'outils. Voir la section \subpage discovery_page section pour plus de détails.
|
||||||
|
|
||||||
\section s5 Example Use Cases
|
\subsection s3f Personas (Personnages)
|
||||||
In this section, we will provide examples of how to do common analysis tasks.
|
|
||||||
|
|
||||||
\subsection s5a Web Artifacts
|
Le panneau "Personas" est pour créer et gérer des "personnages". La création d'un personnage vous permet d'associer un ou plusieurs comptes à un nom et à d'autres données. Vous pouvez l'ouvrir depuis le menu "Tools". Voir la section \subpage personas_page section pour plus de détails.
|
||||||
|
|
||||||
If you want to view the user's recent web activity, make sure that the Recent Activity ingest module was enabled.
|
\section s5 Exemples de cas d'utilisation
|
||||||
You can then go to the "Results " node in the tree on the left and then into the "Extracted Data" node.
|
Dans cette section, nous présenterons des exemples sur la façon d'effectuer des tâches d'analyse courantes.
|
||||||
There, you can find bookmarks, cookies, downloads, and history.
|
|
||||||
|
|
||||||
\subsection s5b Known Bad Hash Files
|
\subsection s5a Artefacts Web
|
||||||
|
|
||||||
If you want to see if the data source had known bad files, make sure that the Hash Lookup ingest module was enabled.
|
Si vous souhaitez afficher l'activité Web récente de l'utilisateur, assurez-vous que le module d'acquisition "Recent Activity" a été activé.
|
||||||
You can then view the "Hashset Hits" section in the "Results" area of the tree on the left.
|
Vous pouvez ensuite aller au niveau du nœud "Results " dans l'arborescence sur le côté gauche de l'interface, puis sur le nœud "Extracted Data".
|
||||||
Note that hash lookup can take a long time, so this section will be updated as long as the ingest process is ongoing.
|
Là, vous pouvez trouver les signets, les cookies, les téléchargements et l'historique de navigation.
|
||||||
Use the Ingest Inbox to keep track of what known bad files were recently found.
|
|
||||||
|
|
||||||
When you find a known bad file in this interface, you may want to right click on the file to also view the file's original location.
|
\subsection s5b Hachages de fichiers défavorablement connus
|
||||||
You may find additional files that are relevant and stored in the same folder as this file.
|
|
||||||
|
|
||||||
\subsection s5c Media: Images and Videos
|
Si vous voulez voir si la source de données contient des fichiers défavorablement connus, assurez-vous que le module d'acquisition "Hash Lookup" a été activé.
|
||||||
|
Vous pouvez ensuite aller au niveau de la section "Hashset Hits" de la zone "Results" située dans l'arborescence sur le côté gauche de l'interface.
|
||||||
|
Notez que la recherche de hachage peut prendre un certain temps, donc cette section sera mise à jour constamment tant que le processus d'acquisition sera en cours.
|
||||||
|
Utilisez la boîte de notification des modules d'acquisition ("Ingest Modules") pour garder un visuel sur les fichiers défavorablement connus récemment trouvés.
|
||||||
|
|
||||||
If you want to see all images and video on the disk image, then go to the "Views" section in the tree on the left and then "File Types".
|
Lorsque vous trouvez un fichier défavorablement connu dans cette interface, vous pouvez faire un clic droit sur ce fichier pour l'afficher également dans son emplacement d'origine.
|
||||||
Select either "Images" or "Videos".
|
Vous pouvez trouver des fichiers supplémentaires qui sont pertinents et stockés dans le même dossier que ce fichier.
|
||||||
You can use the thumbnail option in the upper right to view thumbnails of all images.
|
|
||||||
|
\subsection s5c Médias: images et vidéos
|
||||||
|
|
||||||
|
Si vous souhaitez voir toutes les images et vidéos sur l'image disque, accédez à la section "Views" située dans l'arborescence sur le côté gauche de l'interface, puis dans la zone "File Types".
|
||||||
|
Sélectionnez soit "Images" soit "Videos".
|
||||||
|
Vous pouvez utiliser l'onglet Thumbnail dans la cadre situé en haut à droite, pour afficher les miniatures de toutes les images.
|
||||||
|
|
||||||
|
|
||||||
You can select an image or video from the upper right and view the video or image in the lower right. Video will be played with sound.
|
Vous pouvez sélectionner une image ou une vidéo dans la partie supérieure droite et afficher la vidéo ou l'image dans la zone inférieure droite de la fenêtre. La vidéo sera lue avec le son.
|
||||||
|
|
||||||
\section s6 Reporting
|
\section s6 Rapports
|
||||||
|
|
||||||
A final report can be generated that will include all analysis results using the "Generate Report" toolbar button. Reports can be generated in HTML, XLS, KML, and other formats.
|
Un rapport final peut être généré qui inclura tous les résultats de l'analyse, à l'aide du bouton "Generate Report" de la barre d'outils. Les rapports peuvent être générés aux formats HTML, XLS, KML et autres.
|
||||||
|
|
||||||
You can later find your generated reports by going to the tree and opening the Reports node at the bottom.
|
Vous pouvez retrouver plus tard vos rapports générés en accédant à l'arborescence et en ouvrant le nœud Reports en bas.
|
||||||
|
|
||||||
|
|
||||||
*/
|
*/
|
Loading…
x
Reference in New Issue
Block a user