Autopsy - Volledig forensisch softwarepakket

Een volledig forensisch softwarepakket voor niets? Je ziet het goed. Autopsy is software waarmee je een volledig onderzoek kunt doen aan allerlei digitale gegevensdragers en het is gratis en voor niets. Autopsy borduurt voort op het bekende softwarepakket "The Sleuthkit" maar stapt volledig over naar Windows. Ik heb het inmiddels uitgeprobeert en het is inderdaad behoorlijk compleet. Het is niet zo snel als bv de commerciële pakketten Encase en FTK, mist sommige comfortabele features (homeplate), maar is heel goed bruikbaar voor de forensisch onderzoeker met een dunne portemonnee. Het is overkill als je het wilt gebruiken om je verwijderde vakantiefoto's terug te vinden op een geheugenkaart, maar ook dat kan :-)

Je kunt er zowel lokale schijven, mappen en bestanden mee analyseren als zogenaamde diskimages (DD/RAW en E01). Het herkent veel verschillende bestandssystemen (NTFS, FAT12, FAT16, FAT32, HFS+ (=Apple), ISO9660 (CD-ROM), Ext2, Ext3, UFS) zodat je ook gegevensdragers kunt openen die niet standaard door Windows worden herkend. Het herkent diverse bestandsformaten en metadata ervan (bv. EXIF van afbeeldingen) en zelfs geindexeerd zoeken op tekst is mogelijk! Daarnaast is het uitbreidbaar met zogenaamde modules. Hieronder een lijstje van de features zoals het op de website staat:

• Timeline Analysis: Displays system events in a graphical interface to help identify activity.
• Keyword Search: Text extraction and index searched modules enable you to find files that mention specific terms and find regular expression patterns.
• Web Artifacts: Extracts web activity from common browsers to help identify user activity.
• Registry Analysis: Uses RegRipper to identify recently accessed documents and USB devices.
• LNK File Analysis: Identifies short cuts and accessed documents
• Email Analysis: Parses MBOX format messages, such as Thunderbird.
• EXIF: Extracts geo location and camera information from JPEG files.
• File Type Sorting: Group files by their type to find all images or documents.
• Media Playback: View videos and images in the application and not require an external viewer.
• Thumbnail viewer: Displays thumbnail of images to help quick view pictures.
• Robust File System Analysis: Support for common file systems, including NTFS, FAT12, FAT16, FAT32, HFS+, ISO9660 (CD-ROM), Ext2, Ext3, and UFS from The Sleuth Kit.
• Hash Set Filtering: Filter out known good files using NSRL and flag known bad files using custom hashsets in HashKeeper, md5sum, and EnCase formats.
• Tags: Tag files with arbitrary tag names, such as 'bookmark' or 'suspicious', and add comments.
• Unicode Strings Extraction: Extracts strings from unallocated space and unknown file types in many languages (Arabic, Chinese, Japanese, etc.).

Website: http://www.sleuthkit.org/autopsy/