下载链接：https://download-hdw.oss-cn-beijing.aliyuncs.com/Tools/autopsy-4.19.3-64bit.msi.zip

· 多用户案例：与其他执法人员就大型案例进行协作。

· 时间轴分析：在图形界面中显示系统事件，以帮助识别活动。

· 关键字搜索：文本提取和索引搜索模块使您能够查找提到特定术语的文件并查找正则表达式模式。

· 浏览器分析：从常见的浏览器中提取Web活动，以帮助识别用户活动。

· 注册表分析：使用RegRipper识别最近访问的文档和USB设备。

· LNK文件分析：标识快捷方式和访问的文档

· 电子邮件分析：解析MBOX格式的消息，例如Thunderbird。

· EXIF：从JPEG文件中提取地理位置和相机信息。

· 文件类型排序：按文件类型对文件进行分组以查找所有图像或文档。

· 媒体播放：在应用程序中查看视频和图像，不需要外部查看器。

· 缩略图查看器：显示图像的缩略图以帮助快速查看图片。

· 强大的文件系统分析：支持常见文件系统，包括Sleuth Kit中的 NTFS，FAT12 / FAT16 / FAT32 / ExFAT，HFS +，ISO9660（CD-ROM），Ext2 / Ext3 / Ext4，Yaffs2和UFS 。

· 哈希集过滤：使用NSRL过滤出已知的好文件，并使用HashKeeper，md5sum和EnCase格式的自定义哈希集标记已知的坏文件。

· 标签：使用任意标签名称（例如“书签”或“可疑”）标记文件，并添加注释。

· Unicode字符串提取：从未分配的空间和未知文件类型中提取多种语言（阿拉伯语，中文，日语等）的字符串。

· 基于签名和扩展名不匹配检测的文件类型检测。

· 有趣的文件模块将根据名称和路径标记文件和文件夹。

· Android支持：从SMS，通话记录，联系人，探戈，与朋友交流的单词等中提取数据。

案例和数据源

Autopsy按案例组织数据。每个案例可以具有一个或多个数据源，这些数据源可以是磁盘映像，一组逻辑文件，连接USB的设备等。

创建案例

要创建案例，请使用“欢迎”屏幕上的“创建新案例”选项，或使用“案例”菜单。这将启动“ 新案例向导”。您需要为其提供案例名称和用于存储案例结果的目录。您可以选择提供案例编号和审阅者姓名。

添加数据源

下一步是将输入数据源添加到案例。创建案例后，“ 添加数据源向导”将自动启动，或者您可以从“案例”菜单或工具栏手动启动它。您将需要选择要添加的输入数据源的类型（图像，本地磁盘或逻辑文件和文件夹）。接下来，向其提供要添加的源的位置。

· 对于磁盘映像，请浏览到该集中的头个文件（Autopsy将查找其余文件）。

· 对于本地磁盘，选择检测到的磁盘之一。Autopsy会将磁盘的当前视图添加到案例（即元数据的快照）。但是，单个文件内容（不是元数据）的确会随着对磁盘的更改而更新。您可以选择创建从本地磁盘读取的所有数据到VHD文件的副本，这对于分流情况很有用。注意，您可能需要以管理员身份运行Autopsy才能检测所有磁盘。

· 对于逻辑文件（单个文件或文件文件夹），请使用“添加”按钮将系统上的一个或多个文件或文件夹添加到案例中。文件夹将被递归添加到案例中。

提供所需的数据后，Autopsy将快速查看数据源并向案例数据库添加最少的元数据，以便它可以安排文件进行分析。在执行此操作时，它将提示您配置分析模块。

分析模块

接收模块负责分析数据源内容，并将在后台运行。提取模块按优先顺序分析文件，以便先分析用户目录中的文件，然后再分析其他文件夹中的文件。分析模块可以由第三方开发。

Autopsy包含的标准分析模块为：

· 最近活动模块提取由网络浏览器和操作系统保存的用户活动。还可以在注册表配置单元上运行Regripper。

· 哈希查找模块使用哈希集来忽略NIST NSRL中的已知文件并标记已知的错误文件。使用“advance”按钮添加和配置在此过程中使用的哈希集。提取发生时，您将获得有关已知错误文件命中的更新。您以后可以通过主UI中的“工具”->“选项”菜单添加哈希集。您可以从 http://sourceforge.net/projects/autopsy/files/NSRL/下载NIST NSRL的索引。

· 文件类型识别模块根据签名确定文件类型，并根据MIME类型报告它们。它将结果存储在Blackboard中，许多模块依赖于此。它使用Tika开源库。您可以在工具，选项，文件类型中定义自己的自定义文件类型。

· 嵌入式文件提取模块将打开ZIP，RAR，其他存档格式，Doc，Docx，PPT，PPTX，XLS和XLSX，并通过摄取管道将这些文件的派生文件发送回去进行分析。

· EXIF解析器模块从JPEG文件中提取EXIF信息，并将结果发布到主UI中的树中。

· 关键字搜索模块使用关键字列表来识别其中包含特定单词的文件。您可以选择要自动搜索的关键字列表，也可以使用“advance”按钮创建新列表。请注意，通过关键字搜索，您可以始终在提取完成后进行搜索。会定期搜索您在提取过程中选择的关键字列表，并实时获得结果。在执行关键字搜索之前，您不需要等待所有文件都被索引，但是在执行搜索时，您只会从已被索引的文件中获取结果。

· 电子邮件解析器模块根据文件签名识别Thunderbird MBOX文件和PST格式文件，从中提取电子邮件，并将结果添加到Blackboard。

· 扩展名不匹配检测器模块使用文件类型标识的结果并标记具有传统上与文件的检测到的类型不相关联的扩展名的文件。忽略“已知”（NSRL）文件。您可以在工具，选项，文件扩展名不匹配中自定义MIME类型和每种MIME类型的文件扩展名。

· 数据源完整性模块计算E01文件的校验和，并与E01文件的内部校验和进行比较以确保它们匹配。

· Android Analyzer模块可让您解析Android设备中的常见项目。将工件放入Blackboard。

· 有趣的文件标识符模块根据“工具”，“选项”，“有趣的文件”中用户指定的规则搜索文件和目录。它用作“文件警报模块”。找到指定文件后，它将在收件箱中生成消息。

· PhotoRec Carver模块从未分配的空间中雕刻文件，并通过文件处理链发送它们。

· 关联引擎模块将文件哈希和其他提取的属性添加到核心存储库，以进行将来的关联并标记以前值得注意的文件。

· 加密检测模块查找加密的文件。

· 虚拟机提取器模块从虚拟机文件中提取数据

选择模块时，可以选择更改其设置。例如，您可以配置在提取期间要使用哪些关键字搜索列表以及要使用哪些哈希集。有关配置每个模块的详细信息，请参阅各个模块的帮助。

当提取模块在后台运行时，您将在右下方看到进度条。您可以使用GUI查看传入结果并在同时摄取的同时执行其他任务。

查看分析结果

提取模块开始分析数据源后，您将看到主分析界面。您可以选择搜索特定项目，浏览到特定文件夹或查看摄取模块结果。

您将从左侧的树开始所有分析技术。

· 数据源根节点显示案例中的所有数据。

· “视图”节点从不同的角度显示相同的数据，例如按文件类型组织。

· “结果”节点显示摄取模块的输出。

当您从左侧树中选择一个节点时，文件列表将显示在右上方。您可以使用右上方的“缩略图”视图查看图片。从右上方选择文件时，其内容将显示在右下方。您可以使用右下角的选项卡查看文件的文本，图像或十六进制数据。

如果要从“视图和结果”节点查看文件，则可以右键单击文件以转到其文件系统位置。此功能对于查看用户与您当前正在查看的文件存储在同一文件夹中的其他内容很有用。您也可以右键单击文件以将其解压缩到本地系统。

如果要搜索单个关键字，则可以使用程序右上方的搜索框。结果将显示在右上方的表格中。

左侧的树和右侧的表均具有UI快速搜索功能，可用于快速查找可见节点。

您可以标记（添加书签）任意文件，以便以后可以更快地找到它们，或者可以将它们专门包含在报告中。

生成报告

可以使用“生成报告”工具栏按钮生成将包括所有分析结果的最终报告。报表可以HTML，XLS，KML和其他格式生成。

与商业取证软件相比，Autopsy有以下几点不足之处：

· 软件汉化不足，为英文操作界面，并且生成的报告也是英文。

· 支持解析的镜像种类少。

· 支持解析的应用类型少。

· 无法解析加密数据。

· 免费软件，无法保证有效增加特殊需求应用。

Autopsy这款免费取证软件，开放性好，可以部署在windows、linux系统中，也可以在U盘中运行，可以自行增加分析模块。实战性差，适合研究，具备一定编程能力的同学可以自行研究、开发此工具。