Sleuth Kit Autopsie Tutoriel en profondeur

Sleuth Kit Autopsie Tutoriel en profondeur
La criminalistique numérique implique la récupération et l'acquisition de tout type de preuves provenant d'appareils tels que des disques durs, des ordinateurs, des téléphones portables qui peuvent stocker n'importe quel type de données. Une autopsie est un outil utilisé par les militaires, les forces de l'ordre et les différentes agences lorsqu'il y a un besoin médico-légal. Une autopsie est essentiellement une interface graphique pour le très célèbre Le kit de détection utilisé pour récupérer des preuves d'un lecteur physique et de nombreux autres outils. Le kit Sleuth ne prend que des instructions de ligne de commande. D'un autre côté, l'autopsie rend le même processus facile et convivial. L'autopsie fournit diverses fonctionnalités qui aident à acquérir et à analyser des données critiques et utilisent également différents outils pour des emplois comme Analyse de la chronologie, Filtrage des hachages, sculpture de données, Données exif, Acquisition d'artefacts Web, recherche de mots clés, etc. L'autopsie utilise plusieurs cœurs et exécute les processus d'arrière-plan en parallèle et vous indique dès que quelque chose de votre intérêt apparaît, ce qui en fait un outil extrêmement rapide et fiable pour la criminalistique numérique.

Installation:

Tout d'abord, exécutez la commande suivante sur votre système Linux pour mettre à jour vos référentiels de packages:

ubuntu @ ubuntu: ~ $ sudo apt-get update

Exécutez maintenant la commande suivante pour installer le package d'autopsie:

ubuntu @ ubuntu: ~ $ sudo apt installer l'autopsie

Cela va installer Autopsie du kit de détective Sur votre système Linux.

Pour les systèmes basés sur Windows, téléchargez simplement Autopsie à partir de son site officiel https: // www.sleuthkit.org / autopsie /.

Usage:

Lançons l'autopsie en tapant $ autopsie dans le terminal. Il nous amènera à un écran avec des informations sur l'emplacement du casier de preuves, l'heure de début, le port local et la version de l'autopsie que nous utilisons.

Nous pouvons voir un lien ici qui peut nous amener à autopsie. En naviguant vers http: // localhost: 9999 / autopsie Sur n'importe quel navigateur Web, nous serons accueillis par la page d'accueil, et nous pouvons maintenant commencer à utiliser Autopsie.

Création d'un cas:

La première chose que nous devons faire est de créer un nouveau cas. Nous pouvons le faire en cliquant sur l'une des trois options (cas ouvert, nouveau cas, aide) sur la page d'accueil de l'autopsie. Après avoir cliqué dessus, nous verrons un écran comme celui-ci:

Entrez les détails comme mentionné, je.e., Le nom de cas, les noms de l'enquêteur et la description de l'affaire afin d'organiser nos informations et preuves en utilisant cette enquête. La plupart du temps, il y a plus d'un enquêteur effectuant une analyse médico-légale numérique; Par conséquent, il y a plusieurs champs à remplir. Une fois cela fait, vous pouvez cliquer sur le Nouveau cas bouton.

Cela créera un cas avec des informations données et vous montre l'emplacement où le répertoire de cas est créé I.e./ var / lab / autopsie / et l'emplacement du fichier de configuration. Maintenant cliquez sur Ajouter l'hôte, Et un écran comme celui-ci apparaîtra:

Ici, nous n'avons pas à remplir tous les champs donnés. Nous devons simplement remplir le champ de nom d'hôte où le nom du système enquêté est entré et la brève description de celui-ci. D'autres options sont facultatives, comme spécifier des chemins où les mauvais hachages seront stockés ou ceux où les autres iront ou définiront le fuseau horaire de notre choix. Après avoir terminé cela, cliquez sur le Ajouter l'hôte bouton pour voir les détails que vous avez spécifiés.

Maintenant, l'hôte est ajouté, et nous avons l'emplacement de tous les répertoires importants, nous pouvons ajouter l'image qui va être analysée. Cliquer sur Ajouter une image Pour ajouter un fichier image et un écran comme celui-ci apparaîtra:

Dans une situation où vous devez capturer une image de toute partition ou entraînement de ce système informatique particulier, l'image d'un disque peut être obtenue en utilisant dcfldd utilitaire. Pour obtenir l'image, vous pouvez utiliser la commande suivante,

ubuntu @ ubuntu: ~ $ dcfldd if = de
bs = 512 count = 1 hachage =

Si =la destination du lecteur que vous souhaitez avoir une image de

de =La destination où une image copiée sera stockée (peut être n'importe quoi, e.g., disque dur, USB, etc.)

bs = Taille du bloc (nombre d'octets à copier à la fois)

hachage =type de hachage (e.G MD5, SHA1, SHA2, etc.) (facultatif)

Nous pouvons également utiliser dd utilitaire pour capturer une image d'un lecteur ou d'une partition en utilisant

ubuntu @ ubuntu: ~ $ dd if = de = bs = 512
Count = 1 Hash =

Il y a des cas où nous avons des données précieuses dans RAM Pour une enquête médico-légale, donc ce que nous devons faire, c'est capturer la RAM physique pour l'analyse de la mémoire. Nous le ferons en utilisant la commande suivante:

ubuntu @ ubuntu: ~ $ dd if = / dev / fmem de = bs = 512 count = 1
hachage =

Nous pouvons y jeter un œil dd Les différentes autres options importantes de l'utilitaire pour capturer l'image d'une partition ou d'une RAM physique en utilisant la commande suivante:

ubuntu @ ubuntu: ~ $ dd - help
Options d'aide DD
bs = octets Lire et rédiger aux octets octets à la fois (par défaut: 512);
remplace les IBS et les Obs
CBS = octets convertit les octets octets à la fois
Conv = Convurs convertit le fichier conformément à la liste de symboles séparés par les virgules
compter = n copier uniquement n blocs d'entrée
IBS = octets lus aux octets octets à la fois (par défaut: 512)
if = fichier Lire à partir du fichier au lieu de stdin
iflag = drapeaux lus selon la liste de symboles séparés par les virgules
OBS = octets écrivent des octets octets à la fois (par défaut: 512)
de = fichier écriture dans le fichier au lieu de stdout
OFLAG = Flags Écrit selon la liste de symboles séparés par les virgules
cherche = n sauter n blocs obscènes au début de la sortie
skip = n skip n ibs de taille au début de l'entrée
status = niveau le niveau d'information à imprimer à stderr;
«Aucun» supprime tout sauf les messages d'erreur,
`` Noxfer '' supprime les statistiques de transfert finales,
`` Progress '' montre des statistiques de transfert périodiques
N et les octets peuvent être suivis par les suffixes multiplicatifs suivants:
c = 1, w = 2, b = 512, kb = 1000, k = 1024, mb = 1000 * 1000, m = 1024 * 1024, xm = m,
Gb = 1000 * 1000 * 1000, g = 1024 * 1024 * 1024, et ainsi de suite pour t, p, e, z, y.
Chaque symbole convient peut être:
ASCII d'EBCDIC à ASCII
eBCDIC d'ASCII à EBCDIC
IBM de l'ASCII à l'EBCDIC alternatif
Block Pad Newline-termination Records avec des espaces pour CBS-Size
Unblock remplacer les espaces de fin dans les enregistrements de la taille de CBS par une nouvelle ligne
LCASE Changement supérieur en bas de cas
Ucase Changement minuscule en majuscules
clairsemé essayez de chercher plutôt que d'écrire la sortie pour les blocs d'entrée NUL
Écouvrage échange chaque paire d'octets d'entrée
Sync Pad chaque bloc d'entrée avec NULS à IBS-Size; lorsqu'elle est utilisée
avec un bloc ou un déblocage, un tampon avec des espaces plutôt que des nuls
excl échoué si le fichier de sortie existe déjà
NOCREAT ne créez pas le fichier de sortie
Notrunc ne tronque pas le fichier de sortie
Noerror continue après les erreurs de lecture
fdatasync Écrivez physiquement les données du fichier de sortie avant de terminer
fSync De même, mais aussi écrire des métadonnées
Chaque symbole de drapeau peut être:
Ajouter le mode d'ajout (n'a de sens que pour la sortie; Conv = Notrunc suggéré)
Utilisation directe des E / S directes pour les données
Le répertoire échoue à moins qu'un répertoire
DSYNC utilise des E / S synchronisées pour les données
synchroniser également, mais aussi pour les métadonnées
Fullblock accumule des blocs complètes d'entrée (iflag uniquement)
Utilisation non bloquante E / S
noatime ne mettez pas à jour le temps d'accès
Demande de nocache pour déposer le cache.

Nous utiliserons une image nommée 8-JPEG-SEARCH-DD Nous avons enregistré sur notre système. Cette image a été créée pour les cas de test par Brian Carrier pour l'utiliser avec l'autopsie et est disponible sur Internet pour les cas de test. Avant d'ajouter l'image, nous devrions vérifier le hachage MD5 de cette image maintenant et le comparer plus tard après l'avoir mis dans le casier de preuves, et les deux devraient correspondre. Nous pouvons générer une somme MD5 de notre image en tapant la commande suivante dans notre terminal:

ubuntu @ ubuntu: ~ $ md5sum 8-jpeg-search-dd

Ça fera l'affaire. L'emplacement où le fichier image est enregistré est / Ubuntu / Desktop / 8-JPEG-SEARCH-DD.

L'important est que nous devons saisir tout le chemin où se trouve l'image i.r / Ubuntu / Desktop / 8-JPEG-SEARCH-DD dans ce cas. Liaissement est sélectionné, ce qui rend le fichier image non vulnérable aux problèmes associés à la copie des fichiers. Parfois, vous obtiendrez une erreur «Image non valide», vérifiez le chemin d'accès au fichier image et assurez-vous que le slash vers l'avant «/ " y a-t-il. Cliquer sur Suivant nous montrera nos détails d'image contenant Système de fichiers taper, Mount d'entraînement, et le md5 Valeur de notre fichier image. Cliquer sur Ajouter Pour placer le fichier image dans le casier de preuves et cliquer D'ACCORD. Un écran comme celui-ci apparaîtra:

Ici, nous obtenons avec succès l'image et notre part à notre Analyser portion pour analyser et récupérer des données précieuses dans le sens de la criminalistique numérique. Avant de passer à la partie «Analyser», nous pouvons vérifier les détails de l'image en cliquant sur l'option Détails.

Cela nous donnera des détails sur le fichier image comme le système de fichiers utilisé (NTFS Dans ce cas), la partition de montage, le nom de l'image, et permet de faire des recherches de mots clés et une récupération des données plus rapidement en extrayant des chaînes de volumes entiers et également des espaces non alloués. Après avoir parcouru toutes les options, cliquez sur le bouton Retour. Maintenant, avant d'analyser notre fichier d'image, nous devons vérifier l'intégrité de l'image en cliquant sur le bouton d'intégrité de l'image et en générant un hachage MD5 de notre image.

La chose importante à noter est que ce hachage correspondra à celui que nous avions généré via MD5 SUM au début de la procédure. Une fois cela fait, cliquez sur Fermer.

Analyse:

Maintenant que nous avons créé notre cas, lui avons donné un nom d'hôte, ajouté une description, fait le chèque d'intégrité, nous pouvons traiter l'option d'analyse en cliquant sur le Analyser bouton.

Nous pouvons voir différents modes d'analyse, i.e., Analyse de fichiers, recherche de mots clés, type de fichier, détails de l'image, unité de données. Tout d'abord, nous cliquons sur les détails de l'image pour obtenir les informations du fichier.

Nous pouvons voir des informations importantes sur nos images comme le type de système de fichiers, le nom du système d'exploitation et la chose la plus importante, le numéro de série. Le numéro de série du volume est important dans la cour de droit car il montre que l'image que vous avez analysée est la même ou une copie.

Jetons un coup d'œil au Analyse de fichier option.

Nous pouvons trouver un tas de répertoires et de fichiers présents à l'intérieur de l'image. Ils sont répertoriés dans l'ordre par défaut, et nous pouvons naviguer dans un mode de navigation de fichier. Sur le côté gauche, nous pouvons voir le répertoire actuel spécifié, et en bas, nous pouvons voir une zone où des mots clés spécifiques peuvent être recherchés.

Devant le nom du fichier, il y a 4 champs nommés écrit, accessible, modifié, créé. Écrit signifie la date et l'heure à laquelle le fichier a été écrit pour la dernière fois, Accédé signifie que le dernier fichier a été consulté (dans ce cas, la seule date est fiable), Modifié signifie la dernière fois que les données descriptives du fichier ont été modifiées, Créé signifie la date et l'heure à laquelle le fichier a été créé, et Métadonnées affiche les informations sur le fichier autre que les informations générales.

En haut, nous verrons une option de Générer des hachages MD5 des fichiers. Et encore une fois, cela garantira l'intégrité de tous les fichiers en générant les hachages MD5 de tous les fichiers du répertoire actuel.

Le côté gauche du analyse de fichier L'onglet contient quatre options principales, je.e., RECHERCHE DE DIRECTEUR, recherche de nom de fichier, tous fichiers supprimés, élargir les répertoires. Directoire recherche permet aux utilisateurs de rechercher les répertoires que l'on veut. Recherche de nom de fichier permet de rechercher des fichiers spécifiques dans le répertoire donné,

Tous les fichiers supprimés contiennent les fichiers supprimés d'une image ayant le même format, je.e., Écrit, accessible, créé, métadonnées et options modifiées et sont affichés en rouge comme indiqué ci-dessous:

Nous pouvons voir que le premier fichier est un jpeg fichier, mais le deuxième fichier a une extension de "Hmm". Regardons les métadonnées de ce fichier en cliquant sur les métadonnées le plus à droite.

Nous avons constaté que les métadonnées contient un JFIF entrée, ce qui signifie Format d'échange de fichiers JPEG, Nous comprenons donc que ce n'est qu'un fichier image avec une extension de "Hmm". Développer les répertoires élargit tous les répertoires et permet à un plus grand domaine de contourner les répertoires et les fichiers dans les répertoires donnés.

Tri des fichiers:

L'analyse des métadonnées de tous les fichiers n'est pas possible, nous devons donc les trier et les analyser en triant les fichiers existants, supprimés et non alloués en utilisant le Type de fichier languette.'

Pour trier les catégories de fichiers afin que nous puissions inspecter que celles avec la même catégorie avec facilité. Type de fichier a la possibilité de trier le même type de fichiers en une seule catégorie, je.e., Archives, audio, vidéo, images, métadonnées, fichiers exec, fichiers texte, documents, fichiers compressés, etc.

Une chose importante à propos de l'affichage des fichiers triés est que l'autopsie ne permet pas de visualiser les fichiers ici; Au lieu de cela, nous devons parcourir l'endroit où ceux-ci sont stockés et les voir là-bas. Pour savoir où ils sont stockés, cliquez Afficher les fichiers triés Option sur le côté gauche de l'écran. L'emplacement qu'il nous donnera sera le même que celui que nous avons spécifié lors de la création du cas dans la première étape I.e./ var / lib / autopsie /.

Afin de rouvrir le cas, ouvrez simplement l'autopsie et cliquez sur l'une des options "Un dossier ouvert."

Cas: 2

Jetons un coup d'œil à l'analyse d'une autre image à l'aide d'autopsie sur un système d'exploitation Windows et découvrez quel type d'informations importantes nous pouvons obtenir à partir d'un périphérique de stockage. La première chose que nous devons faire est de créer un nouveau cas. Nous pouvons le faire en cliquant sur l'une des trois options (cas ouvert, nouveau cas, cas ouvert récent) sur la page d'accueil de l'autopsie. Après avoir cliqué dessus, nous verrons un écran comme celui-ci:

Fournissez le nom de cas et le chemin où stocker les fichiers puis entrez les détails comme mentionné, je.e., Le nom de cas, les noms de l'examinateur et la description de l'affaire afin d'organiser nos informations et preuves en utilisant cette enquête. Dans la plupart des cas, il y a plus d'un examinateur qui fait l'enquête.

Maintenant, fournissez l'image que vous souhaitez examiner. E01(Format de témoin expert), Affirmation(format avancé de médecine légale), format brut (Dd), et les images de médecine de la mémoire sont compatibles. Nous avons enregistré une image de notre système. Cette image sera utilisée dans cette enquête. Nous devons fournir le chemin complet vers l'emplacement de l'image.

Il demandera de sélectionner diverses options telles que l'analyse de la chronologie, le filtrage des hachages, la sculpture des données, les données EXIF, l'acquisition d'artefacts Web, la recherche de mots clés, l'analyseur par e-mail, l'extraction de fichiers intégrée, la vérification des activités récentes, etc. Cliquez sur Sélectionnez All pour la meilleure expérience et cliquez sur le bouton Suivant.

Une fois tout terminé, cliquez sur Terminer et attendez que le processus se termine.

Analyse:

Il existe deux types d'analyse, Analyse morte, et Analyse en direct:

Un examen mort se produit lorsqu'un cadre d'enquête engagé est utilisé pour examiner les informations d'un cadre spéculé. Au moment où cela se produit, L'autopsie du kit de détection peut courir dans une zone où les chances de dommages sont éradiquées. L'autopsie et le kit Sleuth offrent une aide aux formats Raw, un témoin expert et AFF.

Une enquête en direct se produit lorsque le cadre présumé est en panne pendant qu'il fonctionne. Dans ce cas, L'autopsie du kit de détection peut fonctionner dans n'importe quelle zone (toute autre chose qu'un espace confiné). Ceci est souvent utilisé pendant la réaction d'occurrence pendant que l'épisode est affirmé.

Maintenant, avant d'analyser notre fichier d'image, nous devons vérifier l'intégrité de l'image en cliquant sur le bouton d'intégrité de l'image et en générant un hachage MD5 de notre image. La chose importante à noter est que ce hachage correspondra à celui que nous avions pour l'image au début de la procédure. Le hachage d'image est important car il indique si l'image donnée a falsifié ou non.

Entre-temps, Autopsie a terminé sa procédure, et nous avons toutes les informations dont nous avons besoin.

  • Tout d'abord, nous commencerons par des informations de base comme le système d'exploitation utilisé, la dernière fois que l'utilisateur s'est connecté et la dernière personne qui a accédé à l'ordinateur pendant la période d'un accident. Pour cela, nous irons à Résultats> Contenu extrait> Informations sur le système d'exploitation sur le côté gauche de la fenêtre.

Pour afficher le nombre total de comptes et tous les comptes associés, nous allons à Résultats> Contenu extrait> Comptes d'utilisateurs du système d'exploitation. Nous verrons un écran comme ceci:

Les informations comme la dernière personne accédant au système, et devant le nom d'utilisateur, il y a des champs nommés accessible, modifié, créé. Accédé signifie la dernière fois que le compte a été accessible (dans ce cas, la seule date est fiable) et Crat signifie la date et l'heure à laquelle le compte a été créé. Nous pouvons voir que le dernier utilisateur à accéder au système a été nommé M. Mal.

Allons au Fichiers de programme dossier C Drive situé sur le côté gauche de l'écran pour découvrir l'adresse physique et Internet du système informatique.

Nous pouvons voir le Ip (Adresse du protocole Internet) et la MAC Adresse du système informatique répertorié.

Allons à Résultats> Contenu extrait> Programmes installés, Nous pouvons voir ici le logiciel suivant utilisé pour effectuer des tâches malveillantes liées à l'attaque.

  • Cain & Abel: un puissant outil de reniflement de paquets et un outil de fissuration de mot de passe utilisé pour le reniflement des paquets.
  • Anonciateur: un outil utilisé pour cacher les pistes et les activités que l'utilisateur malveillant effectue.
  • Ethereal: un outil utilisé pour surveiller le trafic réseau et capturer des paquets sur un réseau.
  • FTP mignon: un logiciel FTP.
  • NetStumbler: un outil utilisé pour découvrir un point d'accès sans fil
  • WinPCAP: Un outil renommé utilisé pour l'accès au réseau de la couche Link dans les systèmes d'exploitation Windows. Il offre un accès de bas niveau au réseau.

Dans le / Windows / System32 Emplacement, nous pouvons trouver les adresses e-mail utilisées par l'utilisateur. Nous pouvons voir MSN e-mail, hotmail, adresse e-mail Outlook. Nous pouvons également voir le Smtp Adresse e-mail ici.

Allons à un endroit où Autopsie Magasin de fichiers malveillants possibles du système. Aller vers Résultats> Articles intéressants, Et nous pouvons voir une tyrolienne présente Unix_hack.tgz.

Lorsque nous avons navigué vers le / Recycler Emplacement, nous avons trouvé 4 fichiers exécutables supprimés nommés DC1.exe, dc2.exe, dc3.exe et dc4.exe.

  • Éthéré, un renom reniflement L'outil qui peut être utilisé pour surveiller et intercepter toutes sortes de trafic réseau câblé et sans fil est également découvert. Nous avons réassemblé les paquets capturés et le répertoire où il est sauvé est / Documents, Le nom de fichier dans ce dossier est Interception.

Nous pouvons voir dans ce fichier que les données comme la victime du navigateur utilisaient et le type d'ordinateur sans fil et ont découvert qu'il s'agissait d'Internet Explorer sur Windows CE. Les sites Web auxquels la victime accédait Yahoo et MSN .com, et cela a également été trouvé dans le fichier d'interception.

En découvrant le contenu de Résultats> Contenu extrait> Historique Web,

Nous pouvons voir en explorant les métadonnées des fichiers donnés, l'historique de l'utilisateur, les sites Web qu'il visite et les adresses e-mail qu'il a fournies pour enregistrer.

Récupération des fichiers supprimés:

Dans la première partie de l'article, nous avons découvert comment extraire des informations importantes à partir d'une image de n'importe quel appareil qui peut stocker des données comme les téléphones portables, les disques durs, les systèmes informatiques, etc. Parmi les talents les plus fondamentaux nécessaires à un agent médico-légal, la récupération des enregistrements effacés est vraisemblablement le plus essentiel. Comme vous le savez probablement, les documents «effacés» restent sur le dispositif de stockage à moins qu'il ne soit écrasé. L'effacement de ces enregistrements rend essentiellement l'appareil accessible. Cela implique que si le suspect a effacé des enregistrements de preuve jusqu'à ce qu'ils soient écrasés par le cadre du document, ils restent accessibles pour nous récupérer.

Nous allons maintenant examiner comment récupérer les fichiers ou enregistrements supprimés en utilisant L'autopsie du kit de détection. Suivez toutes les étapes ci-dessus, et lorsque l'image est importée, nous verrons un écran comme celui-ci:

Sur le côté gauche de la fenêtre, si nous étendons davantage le Types de fichier Option, nous verrons un tas de catégories nommées Archives, audio, vidéo, images, métadonnées, fichiers exec, fichiers texte, documents (html, pdf, mot, .ppx, etc.), fichiers compressés. Si nous cliquons sur images, il montrera toutes les images récupérées.

Un peu plus loin, dans la sous-catégorie de Types de fichier, Nous verrons un nom d'option Fichiers supprimés. En cliquant sur ceci, nous verrons d'autres options sous la forme d'onglets étiquetés pour l'analyse dans la fenêtre inférieure droite. Les onglets sont nommés Hex, résultat, texte indexé, cordes, et Métadonnées. Dans l'onglet métadonnées, nous verrons quatre noms écrit, accessible, modifié, créé. Écrit signifie la date et l'heure à laquelle le fichier a été écrit pour la dernière fois, Accédé signifie que le dernier fichier a été consulté (dans ce cas, la seule date est fiable), Modifié signifie la dernière fois que les données descriptives du fichier ont été modifiées, Créé signifie la date et l'heure à laquelle le fichier a été créé. Maintenant, pour récupérer le fichier supprimé que nous voulons, cliquez sur le fichier supprimé et sélectionnez Exporter. Il demandera un emplacement où le fichier sera stocké, sélectionnez un emplacement et cliquez D'ACCORD. Les suspects s'efforceront fréquemment de couvrir leurs traces en effaçant divers fichiers importants. Nous savons en tant que personne médico-légale que jusqu'à ce que ces documents soient écrasés par le système de fichiers, ils peuvent être récupérés.

Conclusion:

Nous avons examiné la procédure pour extraire les informations utiles de notre image cible en utilisant L'autopsie du kit de détection au lieu d'outils individuels. Une autopsie est une option incontournable pour tout chercheur médico-légal et en raison de sa vitesse et de sa fiabilité. L'autopsie utilise plusieurs processeurs de base qui exécutent les processus d'arrière-plan en parallèle, ce qui augmente sa vitesse et nous donne des résultats en moins de temps et affiche les mots clés recherchés dès qu'ils sont trouvés à l'écran. À une époque où les outils médico-légaux sont une nécessité, l'autopsie offre les mêmes fonctionnalités de base gratuites que les autres outils médico-légaux payants.

L'autopsie précède la réputation de certains outils payants ainsi que fournit des fonctionnalités supplémentaires comme l'analyse du registre et l'analyse des artefacts Web, que les autres outils ne. Une autopsie est connue pour son utilisation intuitive de la nature. Un clic droit rapide ouvre le document significatif. Cela implique à côté de zéro durée de support pour découvrir si des termes de poursuite explicites sont sur notre image, notre téléphone ou notre PC qui est examiné. Les utilisateurs peuvent également revenir en arrière lorsque des quêtes profondes se transforment en impasses, en utilisant les captures d'historique de dos et de transfert pour aider à suivre leurs moyens. La vidéo peut également être vue sans applications extérieures, accélérant l'utilisation.

Les perspectives de vignettes, le type d'enregistrement et de document organisant le filtrage des bons fichiers et les signalements pour horribles, en utilisant la séparation de hachage personnalisée ne sont qu'une partie des différents faits saillants à trouver sur L'autopsie du kit de détection Version 3 offrant des améliorations importantes de la version 2.La technologie de base a généralement subventionné les travaux sur la version 3, où Brian Carrier, qui a livré une grande partie des travaux sur les interprétations antérieures de Autopsie, est le CTO et le chef de la criminologie avancée. Il est également considéré comme un maître Linux et a composé des livres sur le thème de l'exploitation d'informations mesurables, et la technologie de base crée Le kit de détection. Par conséquent, les clients peuvent très probablement se sentir vraiment sûrs qu'ils obtiennent un article décent, un article qui ne disparaîtra à aucun moment dans un avenir proche, et qui sera probablement tout autour de ce qui va arriver.