【Autopsy数字取证篇】Autopsy数字取证软件的下载安装与优化配置

【Autopsy数字取证篇】Autopsy数字取证软件的下载安装与优化配置

Autopsy是一款免费开源的优秀数字取证（Digital Forensics）软件，提供与其他数字取证工具相同的核心功能，并提供其他商业工具不提供的其他基本功能，例如网络工件分析和注册表分析。—【蘇小沐】

1.实验环境

（一）Autopsy

1.Autopsy简介

Autopsy是The Sleuth Kit（TSK）的图形界面版开源的数字取证工具，可用来分析磁盘镜像和恢复删除的文件，提供在磁盘镜像中进行字符串提取，包括关键字搜索，哈希匹配，注册表分析，Web分析，恢复文件，时间轴分析，chrome，firefox 等浏览器历史分析，关键字搜索和邮件分析等功能，并具有可扩展性（附加模块）。

2.Autopsy下载安装

【Autopsy官网地址：Autopsy (sleuthkit.org)；下载地址Autopsy - Download】

选择需要安装的系统版本，然后点击下载即可。

安装完成后，点击运行，启动界面如下。（可自行修改安装路径）

（二）基于硬件的性能优化

安装 Autopsy 后，官方建议执行以下几项基于硬件的操作来优化其性能：

1.线程数

【路径：“Tools->Options->Ingest->Settings”】

线程数：更改运行时使用的并行线程管道数。软件默认值为2个管道，但如果在具有多个内核的系统上运行，则可以增加此值。

在“设置”选项卡上的"收录"面板上，有一个用于"文件收录的线程数的"下拉列表。最大值与系统上的处理器数相同（最多四个）。摄取线程数不能设置为 4 个以上。测试表明，对于大多数系统和设置，在四个线程之后，机器无论如何都是 I/O 绑定的，并且将此数字增加到四个以上实际上可能会降低性能。【每次更改后，重新启动Autopsy以使此设置生效】

1）“Tools->Options”

里面还有其它一些设置，可以自行摸索。

2）“Ingest->Settings”

官方建议线程设置最大数不超过4个。

2.镜像和案例不同盘

制作案例时，请使用不同的驱动器来存储案例和图像。这允许同时读取和写入最大数据量。建议使用固态硬盘分析案例，速度快些。

总结

由于本人能力有限，纯粹做个记录，文中如有不妥和错漏之处欢迎批评指正。如果觉得本文档对您有帮助，可以点赞收藏关注！

【著作所有权归作者 蘇小沐 所有，转载请注明文章出处】

参考资料

[1] Autopsy - Basis Technology