www.MegaLab.it

Creazione di un nuovo caso

Lanciamo dunque Autopsy da terminale con il comando sudo autopsy e noteremo una risposta del genere:

Il messaggio ci informa che Autopsy ha avviato un server web, il quale cola porta di accesso al filesystem da analizzare. In questo modo, possiamo addentrarci nell'esplorazione mediante un browser web.

Colleghiamoci quindi all'indirizzo indicato con il nostro normale browser. Ci risponderà la veste web di Autopsy...

... chiedendoci se vogliamo creare un nuovo caso di investigazione, o aprirne uno esistente. Clicchiamo su New Case

Qui inseriremo il nome e la descrizione che vogliamo dare al caso e i nomi degli investigatori... Appena fatto clicchiamo su New Case.

Nel passaggio successivo scegliamo il nostro nome e clicchiamo su Add Host. Dopodichè verrà aperta un'altra pagina di configurazione del caso dove potremo inserire una serie di parametri opzionali, alla fine clicchiamo ancora una volta su Add Host.

Ora che abbiamo definito le informazioni generale del caso, Autopsy ci chiederà di inserire l'immagine da analizzare:

Clicchiamo su Add Image e successivamente su Add Image file. Ora dovremo specificare l'immagine che abbiamo creato prima con dd

Digiteremo quindi il percorso del nostro file immagine e specificheremo (in questo caso) che si tratta di una partizione.

Per quanto riguarda il metodo di importazione consiglio il collegamento simbolico (Symlink). Per confermare clicchiamo su Next.

Ora Autopsy ci indicherà automaticamente di che filesystem si tratta. Procediamo cliccando su Add e l'immagine verrà testata. Appena finito, clicchiamo su OK.

La configurazione è conclusa: ci ritroveremo quindi nella home del caso appena creato:

Voltiamo pagina ed iniziamo l'esplorazione...