Autopsy

Introduce to Usage

• Open source tool이고 The Sleuth Kit을 포함하고 있다.
• 새로운 case number를 기입하고 data source를 추가하여 examination을 시작한다.
• Default ingest Modules은 다음과 같다.
  • Recent Activity
  • File Type Identification
  • Extension Mismatch Detector
  • Embedded File Extractor
  • Exif Parser
  • Email Parser
  • Encryption detection
  • PhotoRec Carver
• \[Actual size / the number of sector = the size of each sector\]
• \[the size of volume = block count * block size\]
• 실제 디스크 사이즈를 계산 하는 방식(섹터로 계산하거나 block으로 계산하거나)에 따라 bytes가 어느정도 다를 수 있는데 이거는 precise 근사치 문제이다.
• Sector란 파일 시스템에서 가장 작은 저장 단위이다.
• $OrphanFiles 라는 것들은 폴더 구조에서 떨어져서 부모 디렉토리가 없는 것을 의미한다.
• Change time은 제목, 권한, 위치 같은 것들이 바뀐 것을 의미하고 Modified는 내용이 바뀐 것을 의미한다.
• sub-directory만 보고 프로그램이 설치되었다고 확정지으면 안 되고 install.log를 확인해서 해당 프로그램이 설치되었는지 아닌지 확정지어야 한다.