数字取证autopsy系列——添加一个案例（三）

介绍：

开始学习如何使用autopsy进行分析取证，在开始之前请准备好需要分析的镜像。本章将介绍如何使用autopsy新建一个取证案例。

 

新建案例：

打开autopsy之后会出现以下界面，点击新建一个案例。

 

案例命名，案例名称建议使用日期时间加上项目名称，指定案例存放的位置，这里我存放到G盘根目录。

 

 

以下图为可选信息，请根据实际情况进行填写，最后点击完成。

 

 

之后会弹出以下向导框，这里可以选择要分析的内容，可以是本地磁盘也可以是dd或E01等磁盘镜像，我选择使用磁盘镜像。

 

 选择第二章创建的证据镜像(a)，选择时区与证据镜像的块大小(b)，这里我选择自动检测。

 

 

 选择策略，我选择自定义设置(a)，也就是在下一步中进行配置，如下图所示，也有定义好的策略，这个策略的作用就是启动一些分析检测的模块。比如我们只想分析该证据镜像的图片内容，就可以根据该需求配置策略只启动这方面的模块。之后会做详细介绍。

 

 选择分析模块，暂时先按照以下图进行配置即可(a)，以后再做介绍。点击下一步，最后点击完成autopsy就开始使用我们选择的模块对证据镜像进行分析了。

 

等待右下角进度条走完，autopsy的工作就结束，之后需要我们人为的进行分析取证了。