mirror of
https://github.com/overcuriousity/autopsy-flatpak.git
synced 2025-07-06 21:00:22 +00:00
Translate : adHocKeywordSearch ans data_sources pages
This commit is contained in:
Seb2lyon
parent
21a758b429
commit
3a6cefbe95
@ -1,105 +1,103 @@
|
||||
/*! \page ad_hoc_keyword_search_page Ad Hoc Keyword Search
|
||||
/*! \page ad_hoc_keyword_search_page Recherche par mot-clé ad hoc
|
||||
|
||||
[TOC]
|
||||
|
||||
\section ad_hoc_kw_overview Overview
|
||||
\section ad_hoc_kw_overview Aperçu
|
||||
|
||||
The ad hoc keyword search features allows you to run single keyword terms or lists of keywords against all images in a case. Both options are located in the top right of the main Autopsy window.
|
||||
Les fonctionnalités de recherche par mot-clé ad hoc vous permettent d'exécuter des recheches de mot-clé unique ou des listes de mots-clés sur toutes les images d'un cas. Les deux options sont situées en haut à droite de la fenêtre principale d'Autopsy.
|
||||
|
||||
\image html keyword-search-ad-hoc.PNG
|
||||
|
||||
The \ref keyword_search_page must be selected during ingest before doing an ad hoc keyword search. If you don't want to search for any of the existing keyword lists, you can deselect everything to just index the files for later searching.
|
||||
Le module \ref keyword_search_page doit être sélectionné lors de l'acquisition avant d'effectuer une recherche par mot-clé ad hoc. Si vous ne souhaitez rechercher aucune des listes de mots clés existantes, vous pouvez tout désélectionner pour simplement indexer les fichiers pour une recherche ultérieure.
|
||||
|
||||
\section ad_hoc_kw_types_section Creating Keywords
|
||||
\section ad_hoc_kw_types_section Créer des mots-clés
|
||||
|
||||
The following sections will give a description of each keyword type, then will show some sample text and how various search terms would work against it.
|
||||
Les sections suivantes donneront une description de chaque type de mot-clé, puis montreront un exemple de texte et comment différents termes de recherche fonctionneront avec lui.
|
||||
|
||||
## Exact match
|
||||
## Exact match (correspondance exacte)
|
||||
|
||||
Exact match should be used in cases where the search term is expected to always be surrounded by non-word characters (typically whitespace or punctuation). Spaces/punctuation are allowed in the search term, and capitalization is ignored.
|
||||
"Exact match" doit être utilisé dans les cas où le terme de recherche est censé être toujours entouré de caractères autres que des mots (généralement des espaces ou des signes de ponctuation). Les espaces/ponctuations sont autorisés dans le terme de recherche et la casse est ignorée.
|
||||
|
||||
> The quick reddish-brown fox jumps over the lazy dog.
|
||||
|
||||
- "quick", "brown", "dog" will match
|
||||
- "FOX", "Fox", "fox" will all match
|
||||
- "reddish-brown fox", "brown fox", "LAZY DOG" will match
|
||||
- "rown" and "lazy do" will not match since they are not bounded by non-word characters in the text
|
||||
- "quick", "brown", "dog" correspondront
|
||||
- "FOX", "Fox", "fox" correspondront tous
|
||||
- "reddish-brown fox", "brown fox", "LAZY DOG" correspondront
|
||||
- "rown" et "lazy do" ne correspondront pas car ils ne sont pas délimités par des caractères autres que des mots dans le texte
|
||||
|
||||
## Substring match
|
||||
## Substring match (correspondance de sous-chaîne de caractères)
|
||||
|
||||
Substring match should be used where the search term is just part of a word, or to allow for different word endings. Capitalization is ignored but spaces and other punctuation can not appear in the search term.
|
||||
"Substring match" doit être utilisé lorsque le terme de recherche n'est qu'une partie d'un mot, ou pour permettre différentes fins de mot. Les majuscules sont ignorées, mais les espaces et autres signes de ponctuation ne peuvent pas apparaître dans le terme de la recherche.
|
||||
|
||||
> The quick reddish-brown fox jumps over the lazy dog.
|
||||
|
||||
- "jump" will match "jumps", and would also match "jumping", "jumped", etc.
|
||||
- "dog" will match
|
||||
- "UMP", "oX" will match
|
||||
- "y dog", "ish-brown" will not match
|
||||
- "jump" correspondra avec "jumps", et "jumping", "jumped", etc... correspondraient également
|
||||
- "dog" correspondra
|
||||
- "UMP", "oX" correspondront
|
||||
- "y dog", "ish-brown" ne correspondront pas
|
||||
|
||||
## Regex match
|
||||
## Regex match (correspondance des expressions régulières)
|
||||
|
||||
Regex match can be used to search for a specific pattern. Regular expressions are supported using Lucene Regex Syntax which is documented here: https://www.elastic.co/guide/en/elasticsearch/reference/1.6/query-dsl-regexp-query.html#regexp-syntax. Wildcards are automatically added to the beginning and end of the regular expressions to ensure all matches are found. Additionally, the resulting hits are split on common token separator boundaries (e.g. space, newline, colon, exclamation point etc.) to make the resulting keyword hit more amenable to highlighting. As of Autopsy 4.9, regex searches are no longer case sensitive. This includes literal characters and character classes.
|
||||
"Regex match" peut être utilisé pour rechercher un modèle spécifique. Les expressions régulières sont prises en charge à l'aide de la Syntaxe de Lucene Regex qui est documentée ici: https://www.elastic.co/guide/en/elasticsearch/reference/1.6/query-dsl-regexp-query.html#regexp-syntax. Des caractères génériques sont automatiquement ajoutés au début et à la fin des expressions régulières pour garantir que toutes les correspondances soient trouvées. De plus, les hits résultants sont divisés sur des limites de séparateur communes (par exemple, espace, nouvelle ligne, deux-points, point d'exclamation, etc...) pour rendre le hit de mot-clé résultant plus facile à mettre en évidence. Depuis Autopsy 4.9, les recherches regex ne sont plus sensibles à la casse. Cela inclut les caractères littéraux et les classes de caractères.
|
||||
|
||||
<b>Note:</b> Since Autopsy 4.4, boundary characters ('^' and '$') no longer work as word boundaries. Previously a search for "^[0-9]{5}$" would return all five
|
||||
digit strings surrounded by some type of non-word characters. For example, "The number 12345 is.." would contain a match, while "123456789 people" would not. This was because the regex
|
||||
was compared against each "word" in the document. In newer versions, the text is not split into words internally so this type of search no longer works. To get similar results, replace the
|
||||
boundary characters with the specific characters that should represent a word break. For example, "^[0-9]{5}$" could become "[ \.\-\,][0-9]{5}[ \.\-\,]".
|
||||
<b>Remarque:</b> Depuis Autopsy 4.4, les caractères de limite ("^" et "$") ne fonctionnent plus comme limites de mot. Auparavant, une recherche sur "^[0-9]{5}$" renvoyait toutes les chaînes de cinq chiffres entourées d'un certain type de caractères autres que des mots. Par exemple, "Le nombre 12345 est .." correspondait, alors que "123456789 personnes" ne correspondait pas. C'était parce que l'expression régulière
|
||||
avait été comparée à chaque "mot" du document. Dans les versions plus récentes, le texte n'est pas divisé en mots en interne, de sorte que ce type de recherche ne fonctionne plus. Pour obtenir des résultats similaires, remplacez les caractères de délimitation avec les caractères spécifiques qui doivent représenter un saut de mot. Par exemple, "^[0-9]{5}$" pourrait devenir "[ \.\-\,][0-9]{5}[ \.\-\,]".
|
||||
|
||||
There is some validation on the regex but it's best to test on a sample image to make sure your regexes are correct and working as expected. One simple way to test is by creating a sample text file that your expression should match, ingesting it as a \ref ds_log "Logical File Set" and then running the regex query.
|
||||
Il y a une certaine validation de l'expression régulière, mais il est préférable de tester sur une image d'exemple pour vous assurer que vos expressions régulières sont correctes et fonctionnent comme prévu. Un moyen simple de tester consiste à créer un exemple de fichier texte auquel votre expression doit correspondre, en l'intégrant en tant qu'\ref ds_log "Ensemble de fichiers logiques" puis en exécutant la requête regex.
|
||||
|
||||
> In the year 1885 in an article titled Current Notes, the quick brown fox first jumped over the lazy dog.
|
||||
|
||||
- "fox" and "FOX" will both match since the search is case-insensitive
|
||||
- "qu.ck", "cu.*es" will match
|
||||
- "[JLK]umped" will match "jumped"
|
||||
- "[0-9]{4}" will match 1885. Character classes like "\d" are not supported. Backreferences are also not supported (but will not generate an error), so "Cu(.)\1ent" would not work to find "Current"
|
||||
- "fox" et "FOX" correspondront tous les deux puisque la recherche est insensible à la casse
|
||||
- "qu.ck", "cu.*es" correspondront
|
||||
- "[JLK]umped" correspondra à "jumped"
|
||||
- "[0-9]{4}" correspondra à 1885. Les classes de caractères comme "\d" ne sont pas pris en charge. Les "backreference" ne sont pas non plus prises en charge (mais ne généreront pas d'erreur), donc "Cu(.)\1ent" ne fonctionnera pas pour trouver "Current"
|
||||
|
||||
## Other notes
|
||||
## Autres notes
|
||||
|
||||
### Built-in keywords
|
||||
### Mots clés intégrés
|
||||
|
||||
The \ref keyword_search_page has several built-in searches that can not be edited. The ones that are most prone to false hits (IP Address and Phone Number) require that the matching text is surrounded by boundary characters, such as spaces or certain punctuation. For example:
|
||||
- "Address 10.1.5.127 is unavailable" - The built-in IP Address search would find "10.1.5.127" because it is surrounded by whitespace
|
||||
- "abc10.1.7.99xyz" - The built-in IP Address search would not find it because it is surrounded by letters
|
||||
Le module \ref keyword_search_page a plusieurs recherches intégrées qui ne peuvent pas être modifiées. Ceux qui sont les plus sujets aux faux positifs ("IP Address" et "Phone Number") exigent que le texte correspondant soit entouré de caractères de délimitation, tels que des espaces ou certaines ponctuations. Par example:
|
||||
- "Address 10.1.5.127 is unavailable" - La recherche intégrée "IP Address" trouverait "10.1.5.127" car il est entouré d'espaces blancs
|
||||
- "abc10.1.7.99xyz" - La recherche intégrée "IP Address" ne la trouverait pas car il est entouré de lettres
|
||||
|
||||
If you want to override this default behavior:
|
||||
- Copy the existing regex. The easiest way to do this is to click on Keyword Lists, the list you want then the specific entry you want and hit control+c to copy. It will need a bit of cleanup afterward.
|
||||
- Remove the boundary characters on the beginning and end of the regex
|
||||
- Make a new keyword list containing the result and run it either during ingest or through the Keyword Lists button.
|
||||
Si vous souhaitez remplacer ce comportement par défaut:
|
||||
- Copiez le regex existant. Le moyen le plus simple de le faire est de cliquer sur "Keyword Lists", la liste qui vous intéresse puis l'entrée spécifique que vous voulez et appuyez sur Ctrl+C pour copier. Il faudra faire un peu de nettoyage par la suite.
|
||||
- Supprimez les caractères de limite au début et à la fin de l'expression régulière
|
||||
- Créez une nouvelle liste de mots-clés contenant le résultat et exécutez-la pendant l'acquisition ou via le bouton "Keyword Lists".
|
||||
|
||||
### Non-Latin text
|
||||
In general all three types of keyword searches will work as expected but the feature has not been thoroughly tested with all character sets. For example, the searches may no longer be case-insensitive. As with regex above, we suggest testing on a sample file.
|
||||
### Texte non latin
|
||||
En général, les trois types de recherche par mot-clé fonctionnent comme prévu, mais la fonctionnalité n'a pas été testée de manière approfondie avec tous les jeux de caractères. Par exemple, les recherches peuvent ne plus être insensibles à la casse. Comme avec le regex ci-dessus, nous vous suggérons de tester sur un exemple de fichier.
|
||||
|
||||
\section ad_hoc_kw_search Keyword Search
|
||||
\section ad_hoc_kw_search Keyword Search (Recherche par mot clé)
|
||||
|
||||
Individual keyword or regular expressions can quickly be searched using the search text box widget. You can select "Exact Match", "Substring Match" and "Regular Expression" match. See the earlier \ref ad_hoc_kw_types_section section for information on each keyword type. The search can be restricted to only certain data sources by selecting the checkbox near the bottom and then highlighting the data sources to search within. Multiple data sources can be selected used shift+left click or control+left click. The "Save search results" checkbox determines whether the search results will be saved to the case database.
|
||||
Il est possible de rechercher rapidement des mots clés individuels ou des expressions régulières à l'aide de l'assistant de recherche dans la zone de texte. Vous pouvez sélectionner les correspondances "Exact Match", "Substring Match" et "Regular Expression". Voir la section précédente \ref ad_hoc_kw_types_section pour plus d'informations sur chaque type de mot-clé. La recherche peut être limitée à certaines sources de données uniquement en cochant la case située en bas, puis en mettant en surbrillance les sources de données dans lesquelles effectuer la recherche. Plusieurs sources de données peuvent être sélectionnées en utilisant les touches Maj+clic gauche ou Ctrl+clic gauche. La case "Save search results" détermine si les résultats de la recherche seront enregistrés dans la base de données du cas.
|
||||
|
||||
\image html keyword-search-bar.PNG
|
||||
|
||||
Results will be opened in a separate Results Viewer for every search executed. If the "Save search results" checkbox was enabled, the results will also be saved in the Directory Tree as shown in the screenshot below.
|
||||
Les résultats apparaitront dans une visionneuse de résultats distincte pour chaque recherche exécutée. Si la case "Save search results" a été cochée, les résultats seront également enregistrés dans l'arborescence comme indiqué dans la capture d'écran ci-dessous.
|
||||
|
||||
\image html keyword-search-hits.PNG
|
||||
|
||||
\section ad_hoc_kw_lists Keyword Lists
|
||||
\section ad_hoc_kw_lists Keyword Lists (Listes de mots-clés)
|
||||
|
||||
In addition to being selected during ingest, keyword lists can also be run through the Keyword Lists button. For information on setting up these keyword lists, see the \ref keywordListsTab section of the ingest module documentation.
|
||||
En plus d'être sélectionnées lors de l'acquisition, les listes de mots-clés peuvent également être exécutées via le bouton "Keyword Lists". Pour plus d'informations sur la configuration de ces listes de mots clés, consultez la section \ref keywordListsTab de la documentation du module d'acquisition.
|
||||
|
||||
Lists created using the Keyword Search Configuration Dialog can be manually searched by the user by pressing on the 'Keyword Lists' button and selecting the check boxes corresponding to the lists to be searched. The search can be restricted to only certain data sources by selecting the checkbox near the bottom and then highlighting the data sources to search within. Multiple data sources can be selected used shift+left click or control+left click. Once everything has been configured, press "Search" to begin the search. The "Save search results" checkbox determines whether the search results will be saved to the case database.
|
||||
Les listes créées à l'aide de la boîte de dialogue "Keyword Search Configuration" peuvent être recherchées manuellement par l'utilisateur en appuyant sur le bouton "Keyword Lists" et en cochant les cases correspondant aux listes à rechercher. La recherche peut être limitée à certaines sources de données uniquement en cochant la case située en bas, puis en mettant en surbrillance les sources de données dans lesquelles effectuer la recherche. Plusieurs sources de données peuvent être sélectionnées en utilisant les touches Maj+clic gauche ou Ctrl+clic gauche. Une fois que tout a été configuré, appuyez sur "Search" pour lancer la recherche. La case à cocher "Save search results" détermine si les résultats de la recherche seront enregistrés dans la base de données du cas.
|
||||
|
||||
\image html keyword-search-list.PNG
|
||||
|
||||
If the "Save search results" checkbox was enabled, the results of the keyword list search will be shown in the tree, as shown below.
|
||||
Si la case "Save search results" a été cochée, les résultats de la recherche de la liste de mots-clés seront affichés dans l'arborescence, comme indiqué ci-dessous.
|
||||
|
||||
\image html keyword-search-list-results.PNG
|
||||
|
||||
\section ad_hoc_during_ingest Doing ad hoc searches during ingest
|
||||
\section ad_hoc_during_ingest Effectuer des recherches ad hoc lors de l'acquisition
|
||||
|
||||
Ad hoc searches are intended to be used after ingest completes, but can be used in a limited capacity while ingest is ongoing.
|
||||
Les recherches ad hoc sont destinées à être utilisées une fois l'acquisition terminée, mais peuvent être utilisées dans une capacité limitée pendant que l'acquisition est en cours.
|
||||
|
||||
Manual \ref ad_hoc_kw_search for individual keywords or regular expressions can be executed while ingest is ongoing, using the current index. Note however, that you may miss some results if the entire index has not yet been populated. Autopsy enables you to perform the search on an incomplete index in order to retrieve some preliminary results in real-time.
|
||||
Une recherche \ref ad_hoc_kw_search manuelle pour des mots-clés individuels ou des expressions régulières peut être exécutée pendant l'acquisition, en utilisant l'index actuel. Notez cependant que vous risquez de manquer certains résultats si l'index n'a pas encore été renseigné intégralement. Autopsy vous permet d'effectuer la recherche sur un index incomplet afin de récupérer quelques résultats préliminaires en temps réel.
|
||||
|
||||
During the ingest, the normal manual search using \ref ad_hoc_kw_lists behaves differently than after ingest is complete. A selected list can instead be added to the ingest process and it will be searched in the background instead.
|
||||
Pendant l'acquisition, la recherche manuelle normale utilisant des \ref ad_hoc_kw_lists se comporte différemment une fois l'acquisition terminée. Une liste sélectionnée peut être ajoutée au processus d'acquisition et elle sera recherchée en arrière-plan à la place.
|
||||
|
||||
Most keyword management features are disabled during ingest. You can not edit keyword lists but can create new lists (but not add to them) and copy and export existing lists.
|
||||
La plupart des fonctionnalités de gestion des mots clés sont désactivées lors de l'acquisition. Vous ne pouvez pas modifier les listes de mots clés, mais vous pouvez créer de nouvelles listes (mais pas y ajouter des éléments), copier et exporter des listes existantes.
|
||||
|
||||
*/
|
||||
@ -1,66 +1,66 @@
|
||||
/*! \page ds_page Data Sources
|
||||
/*! \page ds_page Data Sources (Sources de données)
|
||||
|
||||
|
||||
[TOC]
|
||||
|
||||
|
||||
A data source is the thing you want to analyze. It can be a disk image, some logical files, a local disk, etc. You must open a case prior to adding a data source to Autopsy.
|
||||
Une source de données est ce que vous souhaitez analyser. Il peut s'agir d'une image disque, de certains fichiers logiques, d'un disque local, etc... Vous devez ouvrir un cas avant d'ajouter une source de données à Autopsy.
|
||||
|
||||
Autopsy supports multiple types of data sources:
|
||||
- Disk Image or VM File: A file (or set of files) that is a byte-for-byte copy of a hard drive or media card, or a virtual machine image. (see \ref ds_img)
|
||||
- Local Disk: Local storage device (local drive, USB-attached drive, etc.). (see \ref ds_local)
|
||||
- Logical Files: Local files or folders. (see \ref ds_log)
|
||||
- Unallocated Space Image Files: Any type of file that does not contain a file system but you want to run through ingest (see \ref ds_unalloc)
|
||||
- Autopsy Logical Imager Results: The results from running the logical imager. (see \ref ds_logical_imager)
|
||||
- XRY Text Export: The results from exporting text files from XRY. (see \ref ds_xry)
|
||||
Autopsy prend en charge plusieurs types de sources de données:
|
||||
- Disk Image or VM File: Un fichier (ou un ensemble de fichiers) qui est une copie bit à bit d'un disque dur ou d'une carte multimédia, ou une image de machine virtuelle. (voir \ref ds_img)
|
||||
- Local Disk: Périphérique de stockage local (lecteur local, lecteur USB, etc...). (voir \ref ds_local)
|
||||
- Logical Files: Fichiers ou dossiers locaux. (voir \ref ds_log)
|
||||
- Unallocated Space Image Files: Tout type de fichier qui ne contient pas de système de fichiers mais que vous souhaitez analyser via les modules d'acquisition (voir \ref ds_unalloc)
|
||||
- Autopsy Logical Imager Results: Les résultats de l'exécution du Logical Imager (imageur logique) d'Autopsy. (voir \ref ds_logical_imager)
|
||||
- XRY Text Export: Les résultats de l'exportation de fichiers texte depuis XRY. (voir \ref ds_xry)
|
||||
|
||||
\section ds_add Adding a Data Source
|
||||
\section ds_add Ajouter une source de données
|
||||
|
||||
You can add a data source in several ways:
|
||||
- After you create a case, it automatically prompts you to add a data source.
|
||||
- There is a toolbar item to add a Data Source when a case is open.
|
||||
- The "Case", "Add Data Source" menu item when a case is open.
|
||||
Vous pouvez ajouter une source de données de plusieurs manières:
|
||||
- Une fois que vous avez créé un cas, Autopsy vous invite automatiquement à ajouter une source de données.
|
||||
- Il existe un élément de la barre d'outils "Add Data Source" pour ajouter une source de données lorsqu'un cas est ouvert.
|
||||
- Le menu "Cases", "Add Data Source" lorsqu'un cas est ouvert.
|
||||
|
||||
The data source must remain accessible for the duration of the analysis because the case contains a reference to the data source. It does <b>not</b> copy the data source into the case folder.
|
||||
La source de données doit rester accessible pendant toute la durée de l'analyse car le cas contient une référence à la source de données. Il ne copie <b>pas</b> la source de données dans le dossier de cas.
|
||||
|
||||
Regardless of the type of data source, there are some common steps in the process:
|
||||
Quel que soit le type de source de données, le processus comporte certaines étapes courantes:
|
||||
<ol>
|
||||
|
||||
<li> You will choose the host for the data source you are going to add. See the \ref host_page "hosts page" for more information about hosts.
|
||||
<li> Vous choisirez l'hôte de la source de données que vous allez ajouter. Voir la page \ref host_page "Hôtes" pour plus d'informations sur les hôtes.
|
||||
|
||||
\image html data_source_host_select.png
|
||||
|
||||
There are three options:
|
||||
Il existe trois options:
|
||||
<ul>
|
||||
<li> <b>Generate new host based on data source name</b> - this will typically create a host with a name similar to your data source with the ID used in the database appended for uniqueness.
|
||||
<li> <b>Specify new host name</b> - this allows you to enter a host name.
|
||||
<li> <b>Use existing host</b> - this allows you to choose a host name already in use in the current case.
|
||||
<li> <b>Generate new host based on data source name</b> - cela créera typiquement un hôte avec un nom similaire à votre source de données avec l'ID utilisé dans la base de données ajouté pour l'unicité.
|
||||
<li> <b>Specify new host name</b> - cela vous permet de saisir un nom d'hôte.
|
||||
<li> <b>Use existing host</b> - cela vous permet de choisir un nom d'hôte déjà utilisé dans le cas actuel.
|
||||
</ul>
|
||||
|
||||
<li> You will select the type of data source.
|
||||
<li> Vous sélectionnerez le type de source de données.
|
||||
|
||||
\image html select-data-source-type.PNG
|
||||
|
||||
<li> You will be prompted to specify the data source to add. This screen varies based on the data source type. Details on adding each type of data source are provided below.
|
||||
<li> Vous serez invité à spécifier la source de données à ajouter. Cet écran varie en fonction du type de source de données. Les détails sur l'ajout de chaque type de source de données sont fournis ci-dessous.
|
||||
|
||||
NOTE: If you are adding a data source to a multi-user case, ensure that all Autopsy clients will have access to the data source at the same path. We recommend using UNC paths to ensure this consistent mapping.
|
||||
REMARQUE: Si vous ajoutez une source de données à un cas multi-utilisateur, assurez-vous que tous les clients Autopsy auront accès à la source de données sur le même chemin. Nous vous recommandons d'utiliser des chemins UNC pour garantir un mappage cohérent.
|
||||
|
||||
<li> Next you will be prompted with a list of ingest modules to enable. If one or more ingest profiles have been saved, there will be a screen before this asking whether to use one of the saved profiles or do a custom setup. See \ref ingest_page for more information on setting up ingest profiles.
|
||||
<li> Ensuite, vous serez invité à activer une liste de modules d'acquisition. Si un ou plusieurs profils d'acquisition ont été enregistrés, il y aura un écran avant cela vous demandant s'il faut utiliser l'un des profils enregistrés ou effectuer une configuration personnalisée. Voir \ref ingest_page pour plus d'informations sur la configuration des profils d'acquisition.
|
||||
|
||||
\image html select-ingest-modules.PNG
|
||||
|
||||
<li> You will need to wait while Autopsy performs a basic examination of the data source and populates an embedded database with an entry for each file in the data source.
|
||||
<li> Vous devrez attendre qu'Autopsy effectue un examen de base de la source de données et remplit la base de données intégrée avec une entrée pour chaque fichier de la source de données.
|
||||
|
||||
\image html data-source-progress-bar.PNG
|
||||
|
||||
<li> After the basic examination of the data source is complete, the ingest modules will likely still be running but you can start browsing through the files in your data source.
|
||||
<li> Une fois l'examen de base de la source de données terminé, les modules d'acquisition seront probablement toujours en cours d'exécution, mais vous pouvez commencer à parcourir les fichiers de votre source de données.
|
||||
</ol>
|
||||
|
||||
Data sources can be removed from cases created with Autopsy 4.14.0 and later. See the section \ref data_source_deletion "below".
|
||||
Les sources de données peuvent être supprimées des cas créés avec Autopsy 4.14.0 et versions ultérieures. Voir la section \ref data_source_deletion "ci-dessous".
|
||||
|
||||
\section ds_img Adding a Disk Image
|
||||
\section ds_img Ajout d'une image disque
|
||||
|
||||
Autopsy supports disk images in the following formats:
|
||||
Autopsy prend en charge les images disque dans les formats suivants:
|
||||
- Raw Single (*.img, *.dd, *.raw, *.bin)
|
||||
- Raw Split (*.001, *.aa)
|
||||
- EnCase (*.e01)
|
||||
@ -69,85 +69,85 @@ Autopsy supports disk images in the following formats:
|
||||
|
||||
\image html data_source_disk_image.png
|
||||
|
||||
To add a disk image:
|
||||
Pour ajouter une image disque:
|
||||
|
||||
<ol>
|
||||
<li>Choose "Disk Image or VM File" from the data source types.
|
||||
<li>Browse to the first file in the disk image. You need to specify only the first file and Autopsy will find the rest. <li>Choose to perform orphan file finding on FAT file systems. This can be a time intensive process because it will require that Autopsy look at each sector in the device.
|
||||
<li>Choose the timezone that the disk image came from. This is most important for when adding FAT file systems because it does not store timezone information and Autopsy will not know how to normalize to UTC.
|
||||
<li>Optionally choose the sector size. The Auto Detect mode will work correctly on the majority of images, but if adding the data source fails you may want to try the other sector sizes.
|
||||
<li>Optionally enter one or more hashes for the image. These will be saved under the image metadata and can be verified using the \ref data_source_integrity_page.
|
||||
<li>Choisissez "Disk Image or VM File" parmi les types de source de données.
|
||||
<li>Accédez au premier fichier de l'image disque. Vous devez spécifier uniquement le premier fichier et Autopsy trouvera le reste. <li>Choisissez d'effectuer la recherche de fichiers orphelins sur les systèmes de fichiers FAT. Cela peut prendre beaucoup de temps, car il faudra qu'Autopsy examine chaque secteur de l'appareil.
|
||||
<li>Choisissez le fuseau horaire d'où provient l'image disque. Ceci est le plus important lors de l'ajout de systèmes de fichiers FAT car ils ne stockent pas les informations de fuseau horaire et Autopsy ne saura pas comment se normaliser en UTC.
|
||||
<li>Choisissez éventuellement la taille du secteur. Le mode de détection automatique fonctionnera correctement sur la majorité des images, mais si l'ajout de la source de données échoue, vous souhaiterez peut-être essayer les autres tailles de secteur.
|
||||
<li>Entrez éventuellement un ou plusieurs hachages pour l'image. Ceux-ci seront enregistrés dans les métadonnées de l'image et pourront être vérifiés à l'aide du module \ref data_source_integrity_page.
|
||||
</ol>
|
||||
|
||||
\section ds_local Adding a Local Disk
|
||||
\section ds_local Ajout d'un disque local
|
||||
|
||||
Autopsy can analyze a local disk without needing to first make an image copy of it. This is most useful when analyzing a USB-attached device through a write blocker.
|
||||
Autopsy peut analyser un disque local sans avoir besoin d'en faire d'abord une image. Ceci est très utile lors de l'analyse d'un périphérique USB via un bloqueur en écriture.
|
||||
|
||||
Note that if you are analyzing a local disk that is being updated, then Autopsy will not see files that are added after you add it as a data source.
|
||||
Notez que si vous analysez un disque local en cours de mise à jour, Autopsy ne verra pas les fichiers ajoutés après l'avoir ajouté en tant que source de données.
|
||||
|
||||
You will need to be running Autopsy as an Administrator to view all devices.
|
||||
Vous devrez exécuter Autopsy en tant qu'administrateur pour afficher tous les appareils.
|
||||
|
||||
There is an option to make a copy of the local disk as a VHD during analysis. This VHD can be loaded in Windows or analyzed through Autopsy. There is an additional option to update the image path in the case database to this newly created file. Enabling this option will allow you to browse the case data normally even after the local disk is removed. Note that at least one ingest module must successfully run in order to generate the complete image copy.
|
||||
Il existe une option pour faire une copie du disque local en tant que disque dur virtuel pendant l'analyse. Ce VHD peut être chargé dans Windows ou analysé par Autopsy. Il existe une option supplémentaire pour mettre à jour le chemin de l'image dans la base de données de cas vers ce fichier nouvellement créé. L'activation de cette option vous permettra de parcourir les données de cas normalement, même après la suppression du disque local. Notez qu'au moins un module d'acquisition doit être exécuté avec succès pour générer la copie d'image complète.
|
||||
|
||||
\image html local-disk-data-source.PNG
|
||||
|
||||
To add a local drive:
|
||||
-# Choose "Local Disk" from the data source types.
|
||||
-# Use the "Select Disk" button to open a dialog showing the local disks. This may take a minute to load. Then select the device from the list.
|
||||
-# Choose to perform orphan file finding. See comment in \ref ds_img about this setting.
|
||||
-# Choose whether to create a VHD copy of the local disk and whether to update the image path.
|
||||
-# Optionally choose the sector size. The Auto Detect mode will work correctly on the majority of images, but if adding the data source fails you may want to try the other sector sizes.
|
||||
Pour ajouter un lecteur local:
|
||||
-# Choisissez "Local Disk" parmi les types de source de données.
|
||||
-# Utilisez le bouton "Select Disk" pour ouvrir une boîte de dialogue affichant les disques locaux. Le chargement peut prendre une minute. Sélectionnez ensuite l'appareil dans la liste.
|
||||
-# Choisissez d'effectuer la recherche de fichiers orphelins. Voir le commentaire dans \ref ds_img à propos de ce paramètre.
|
||||
-# Choisissez de créer une copie VHD du disque local et de mettre à jour le chemin de l'image.
|
||||
-# Choisissez éventuellement la taille du secteur. Le mode de détection automatique fonctionnera correctement sur la majorité des images, mais si l'ajout de la source de données échoue, vous souhaiterez peut-être essayer les autres tailles de secteur.
|
||||
|
||||
\section ds_log Adding a Logical File
|
||||
\section ds_log Ajout d'un fichier logique
|
||||
|
||||
You can add files or folders that are on your local computer (or on a shared drive) without putting them into a disk image. This is useful if you have only a collection of files that you want to analyze.
|
||||
Vous pouvez ajouter des fichiers ou des dossiers qui se trouvent sur votre ordinateur local (ou sur un lecteur partagé) sans les placer dans une image disque. Ceci est utile si vous ne disposez que d'une collection de fichiers que vous souhaitez analyser.
|
||||
|
||||
Some things to note when doing this:
|
||||
- Autopsy ignores the time stamps on files that it adds this way because they could be the timestamps when they were copied onto your examination device.
|
||||
- If you have a USB-attached device that you are analyzing and you choose to add the device's contents using this method, then note that it will not look at unallocated space or deleted files. Autopsy will only be able to see the allocated files. You should add the device as a "Logical Drive" to analyze the unallocated space.
|
||||
- You can modify the name of the Logical File Set from the default LogicalFileSet# by clicking the "Change" button as shown in the screenshot below:
|
||||
Quelques points à noter lors de cette opération:
|
||||
- Autopsy ignore les horodatages sur les fichiers qu'il ajoute de cette façon, car ce pourraient être les horodatages lorsque ces éléments ont été copiés sur votre appareil d'examen.
|
||||
- Si vous possédez un périphérique USB que vous analysez et que vous choisissez d'ajouter le contenu du périphérique à l'aide de cette méthode, notez qu'Autopsy ne regardera pas l'espace non alloué ou les fichiers supprimés. Autopsy ne pourra voir que les fichiers alloués. Vous devez ajouter le périphérique en tant que "Logical Drive" pour analyser l'espace non alloué.
|
||||
- Vous pouvez modifier le nom de l'ensemble de fichiers logiques par défaut LogicalFileSet# en cliquant sur le bouton "Change" comme indiqué dans la capture d'écran ci-dessous:
|
||||
|
||||
\image html change_logical_file_set_display_name.PNG
|
||||
|
||||
To add logical files:
|
||||
-# Choose "Logical Files" from the data source types.
|
||||
-# Leave the top combo box on "Local files and folders"
|
||||
-# Press the "Add" button and navigate to a folder or file to add. Choosing a folder will cause all of its contents (including sub-folders) to be added.
|
||||
-# Continue to press "Add" until all files and folders have been selected.
|
||||
Pour ajouter des fichiers logiques:
|
||||
-# Choisissez "Logical Files" parmi les types de source de données.
|
||||
-# Laissez la liste déroulante du haut sur "Local files and folders"
|
||||
-# Cliquez sur le bouton "Add" et accédez au dossier ou fichier à ajouter. Le choix d'un dossier entraînera l'ajout de tout son contenu (y compris les sous-dossiers).
|
||||
-# Continuez de cliquer sur "Add" jusqu'à ce que tous les fichiers et dossiers aient été sélectionnés.
|
||||
|
||||
All of the files that you added in the panel will be grouped together into a single data source, called "LogicalFileSet" in the main UI.
|
||||
Tous les fichiers que vous avez ajoutés dans le panneau seront regroupés dans une seule source de données, appelée "LogicalFileSet" dans l'interface utilisateur principale.
|
||||
|
||||
There is also limited support for logical evidence (L01) files. To add one as a data source, select "Logical evidence file (L01)" in the top combo box and then browse to your file.
|
||||
La prise en charge limitée des fichiers de preuves logiques (L01) est également possible. Pour en ajouter un comme source de données, sélectionnez "Logical evidence file (L01)" dans la liste déroulante du haut, puis accédez à votre fichier.
|
||||
|
||||
\section ds_unalloc Adding an Unallocated Space Image File
|
||||
\section ds_unalloc Ajout d'un fichier image d'espace non alloué
|
||||
|
||||
\image html unallocated_space_options.PNG
|
||||
|
||||
To add unallocated space image files:
|
||||
-# Choose "Unallocated Space Image File" from the data source types.
|
||||
-# Browse to the file.
|
||||
-# Choose whether to break the image up into chunks. Breaking the image up will give better performance since the chunks can be processed in parallel, but there is a chance that keywords or carved files that span chunk boundaries will be missed.
|
||||
Pour ajouter des fichiers image d'espace non alloué:
|
||||
-# Choisissez "Unallocated Space Image File" parmi les types de source de données.
|
||||
-# Accédez au fichier.
|
||||
-# Choisissez de diviser l'image en morceaux. Le fractionnement de l'image donnera de meilleures performances car les blocs peuvent être traités en parallèle, mais il est possible que des mots-clés ou des résidus de fichiers qui dépassent les limites des blocs soient manquants.
|
||||
|
||||
\section ds_logical_imager Adding an Autopsy Logical Imager Result
|
||||
\section ds_logical_imager Ajout d'un résultat du "Logical Imager" (imageur logique) d'Autopsy
|
||||
|
||||
This option allows you to add the results of a logical imager collection. See the \ref logical_imager_page page for details.
|
||||
Cette option vous permet d'ajouter les résultats d'une collecte de l'imageur logique. Voir la page \ref logical_imager_page pour plus de détails.
|
||||
|
||||
\section ds_xry Adding XRY Text Export Data
|
||||
An XRY text export folder is expected to look similar to this:
|
||||
\section ds_xry Ajout de données d'exportation de texte XRY
|
||||
Un dossier d'exportation de fichiers texte XRY devrait ressembler à ceci:
|
||||
|
||||
\image html xry_folder.png
|
||||
|
||||
To add exported text files:
|
||||
-# Choose "XRY Text Export" from the data source types.
|
||||
-# Browse to the folder containing the text files.
|
||||
Pour ajouter des fichiers texte exportés:
|
||||
-# Choisissez "XRY Text Export" parmi les types de source de données.
|
||||
-# Naviguez jusqu'au dossier contenant les fichiers texte.
|
||||
|
||||
\image html xry_dsp.png
|
||||
|
||||
\section data_source_deletion Deleting Data Sources
|
||||
\section data_source_deletion Suppression de sources de données
|
||||
|
||||
As of Autopsy 4.14.0, data sources can be removed from cases. Removing a data source will delete all files associate with the data source, as well as all results from running ingest modules, tags, and timeline data. \ref reporting_page "Reports" will not be deleted, as most are not associated with a specific data source. If a new data source was created while processing another (from the \ref vm_extractor_page for example), this new data source will also be deleted if its parent is deleted.
|
||||
Depuis Autopsy 4.14.0, les sources de données peuvent être supprimées des cas. La suppression d'une source de données supprimera tous les fichiers associés à celle-ci, ainsi que tous les résultats de l'exécution des modules d'acquisition, les marquages et les données de chronologie. \ref reporting_page "Les rapports" ne seront pas supprimés, car la plupart ne sont pas associés à une source de données spécifique. Si une nouvelle source de données a été créée lors du traitement d'une source de données initiale (par le module \ref vm_extractor_page par exemple), cette nouvelle source de données sera également supprimée si son parent est supprimé.
|
||||
|
||||
To delete a data source, right click it in either the \ref tree_viewer_page or the \ref result_viewer_page and select "Remove Data Source". If the case was originally created with a version of Autopsy earlier than 4.14.0 then this option will be disabled. After a confirmation dialog, the case will close and then reopen after the data source has been removed.
|
||||
Pour supprimer une source de données, faites un clic-droit sur celle-ci dans l'\ref tree_viewer_page ou la \ref result_viewer_page et sélectionnez "Remove Data Source". Si le cas a été créé à l'origine avec une version d'Autopsy antérieure à 4.14.0, cette option sera désactivée. Après une boîte de dialogue de confirmation, le cas se fermera puis se rouvrira une fois la source de données supprimée.
|
||||
|
||||
\image html data_source_delete.png
|
||||
|
||||
|
||||
Loading…
x
Reference in New Issue
Block a user