mirror of
https://github.com/overcuriousity/autopsy-flatpak.git
synced 2025-07-06 21:00:22 +00:00
22 lines
1.3 KiB
Plaintext
22 lines
1.3 KiB
Plaintext
/*! \page plaso_page Plaso
|
|
|
|
[TOC]
|
|
|
|
|
|
Plaso est un framework pour l'exécution de modules ayant pour but d'extraire les horodatages de différents types de fichiers. Le module d'acquisition Plaso exécute Plaso pour générer des événements qui sont affichés dans la \ref timeline_page d'Autopsy. Pour plus d'informations sur Plaso, voir <a href="https://plaso.readthedocs.io/en/latest/"> la documentation</a>.
|
|
|
|
\section plaso_config Exécution du module
|
|
|
|
Le module d'acquisition Plaso exécute des dizaines d'analyseurs individuels et peut prendre beaucoup de temps à s'exécuter. Lors des tests, les analyseurs les plus lents étaient de loin <tt>winreg</tt>, <tt>pe</tt>, et <tt>chrome_cache</tt>. <tt>chrome_cache</tt> est toujours désactivé car il duplique les événements créés par le module \ref recent_activity_page. Vous pouvez choisir d'activer les modules <tt>winreg</tt> et <tt>pe</tt> sur le panneau de configuration des modules d'acquisition ("Configure Ingest Modules").
|
|
|
|
\image html plaso_config.png
|
|
|
|
Plaso ne fonctionnera que sur des sources de données de type \ref ds_img "image disque".
|
|
|
|
\section plaso_results Voir les résultats
|
|
|
|
Les événements Plaso seront présentés dans la \ref timeline_page. Notez que les événements créés par Plaso ne sont pas affichés dans l'\ref tree_viewer_page.
|
|
|
|
\image html plaso_timeline.png
|
|
|
|
*/ |