Visión general

La función de ingesta de línea de comandos le permite ejecutar muchas de las funciones de Autopsia desde la línea de comandos. Puede agregar orígenes de datos a los casos, elegir qué módulos de ingesta ejecutar y generar automáticamente un informe. Cuando se completa, estos casos se pueden abrir normalmente o simplemente puede usar los informes y otros resultados sin abrir Autopsia.

Configuración

Vaya a Herramientas-> Opciones y luego seleccione la pestaña «Ingesta de línea de comandos».

Use la configuración del módulo de ingesta para configurar cómo desea ejecutar la ingesta. Esto es lo mismo que la configuración normal del módulo de ingesta : elija un filtro de archivo y luego active o desactive los módulos de ingesta individuales, cambiando su configuración si lo desea. Presione «OK» para guardar su configuración.

Use la configuración del módulo de informe para elegir y configurar un tipo de informe. Solo se generará el tipo de informe seleccionado. La configuración es generalmente la misma que la generación normal de informes con algunas pequeñas diferencias. Esto se ve principalmente en lugares donde sus opciones dependen del caso abierto, como elegir etiquetas para informar o nombres de conjuntos de archivos interesantes para incluir. Por ejemplo, el informe HTML normalmente le permite elegir etiquetas específicas para incluir, pero para la ingesta de línea de comandos solo tendrá la opción de incluir todas las etiquetas.

Opciones de comando

En un símbolo del sistema, navegue a la carpeta Bin de autopsia. Esto normalmente se encuentra en «C: \ Archivos de programa \ Autopsy-version \ bin».

La siguiente tabla muestra un resumen de las operaciones de la línea de comandos. Puede ejecutar uno o más a la vez, aunque siempre debe crear un caso o abrir uno existente.

--createCase

--caseName
--caseBaseDir

--createCase --caseName = "test5" --caseBaseDir = "C: \ work \ cases"

--caseDir

--caseDir = "C: \ work \ Cases \ test5_2019_09_20_11_01_29"

--addDataSource
--runIngest (opcional)

--dataSourcePath

--addDataSource --dataSourcePath = "R: \ work \ images \ small2.img" --runIngest

--runIngest

--dataSourceObjectId

--runIngest --dataSourceObjectId = 1

--generateReports

--generateReports

--listAllDataSources

--listAllDataSources

Más detalles sobre cada operación junto con ejemplos adicionales se dan a continuación.

Crear y abrir casos

Siempre necesitará crear un caso o dar la ruta a un caso existente. Al crear un caso, la marca de tiempo actual se agregará al nombre del caso. Por ejemplo, ejecutando este comando:

autopsy64.exe --createCase --caseName = "test5" --caseBaseDir = "C: \ work \ cases"

podría crear una carpeta de casos «test5_2019_09_20_11_01_29». Tenga en cuenta que aunque se agregue una marca de tiempo al nombre, el campo –caseName debe ser único para cada ejecución.

Una vez que se crea un caso, deberá utilizar la ruta completa al caso en lugar del nombre del caso y la carpeta base. Por ejemplo, si creamos el caso vacío «test5» como arriba, podríamos usar el siguiente comando para agregarle una fuente de datos:

autopsy64.exe --caseDir = "C: \ work \ Cases \ test5_2019_09_20_11_01_29" --addDataSource 
   --dataSourcePath = "R: \ work \ images \ small2.img"

Agregar un nuevo origen de datos y ejecutar la ingesta

Puede agregar un origen de datos a un caso nuevo o un caso existente utilizando la opción –addDataSource y luego dando la ruta al origen de datos. Si utiliza la opción –runIngest, los módulos de ingesta que seleccionó en el paso de configuración se ejecutarán en la fuente de datos. Ambas imágenes de disco y archivos lógicos son compatibles. Solo puede agregar una fuente de datos a la vez.

En este ejemplo, crearemos un nuevo caso llamado «test6» y agregaremos la fuente de datos «blue_images.img».

autopsy64.exe --createCase --caseName = "test6" --caseBaseDir = "C: \ work \ cases" --addDataSource 
   --dataSourcePath = "R: \ work \ images \ blue_images.img"

Y aquí agregaremos otra fuente de datos («green_images.img») al caso que acabamos de hacer y ejecutamos ingesta en él. Tenga en cuenta que la ingesta solo se ejecutará en la nueva fuente de datos («green_images.img»), no en la que ya está en el caso («blue_images.img»).

autopsy64.exe --caseDir = "C: \ work \ cases \ test6_2019_09_20_13_00_51" --addDataSource --runIngest 
   --dataSourcePath = "R: \ work \ images \ green_images.img"

Finalmente, agregaremos una carpeta («Archivos de prueba») como un conjunto de archivos lógicos a un nuevo caso («prueba9»).

autopsy64.exe --createCase --caseName = "test9" --caseBaseDir = "C: \ work \ Cases" --addDataSource 
   --dataSourcePath = "R: \ work \ images \ Test files" --runIngest

Ejecución de ingesta en un origen de datos existente

Puede ejecutar la ingesta en una fuente de datos ya en el caso si conoce su ID de objeto. Para encontrar esto, vaya a la carpeta del caso y abra la carpeta «Salida de comando».

Si ha ejecutado con la opción –listAllDataSources, habrá al menos un archivo que comenzará «listAllDataSources». Abra el más reciente: el formato será similar a este:

{
  "@dataSourceName": "blue_images.img",
  "@dataSourceObjectId": "1"
} {
  "@dataSourceName": "green_images.img",
  "@dataSourceObjectId": "84"
}

También puede mirar a través de los archivos addDataSource para encontrar el correspondiente al archivo que desea ingerir. El formato será el mismo. Una vez que conozca el ID del objeto de origen de datos, puede usar la opción –dataSourceObjectId para especificarlo. Por ejemplo, esto ejecutará ingestión en «blue_images.img»:

autopsy64.exe --caseDir = "C: \ work \ cases \ test6_2019_09_20_13_00_51" --runIngest --dataSourceObjectId = 1

Generando informes

Puede generar un informe sobre el caso utilizando la opción –generateReports. Puede seleccionar qué tipo de informe exportar a través del panel de opciones de Autopsia (consulte la sección de configuración ). Esta opción se puede ejecutar sola o al mismo tiempo que procesa una fuente de datos. En este ejemplo, estamos agregando una nueva fuente de datos («small2.img») y generando un informe.

autopsy64.exe --caseDir = "C: \ work \ cases \ test6_2019_09_20_13_00_51" --addDataSource
   --dataSourcePath = "R: \ work \ images \ small2.img" --runIngest --generateReports

Listado de todas las fuentes de datos

Puede agregar –listAllDataSources en cualquier momento para generar una lista de todas las fuentes de datos actualmente en el caso junto con sus ID de objeto, para usar cuando se ejecuta en una fuente de datos existente . Este comando incluso se puede ejecutar solo con solo la ruta al caso.

autopsy64.exe --caseDir = "C: \ work \ cases \ test6_2019_09_20_13_00_51" --listAllDataSources

Ejecutando autopsia

Una vez que determine qué parámetros necesita, es hora de ejecutar Autopsia. En el ejemplo a continuación, estamos creando un nuevo caso («xpCase»), agregando una fuente de datos («xp-sp3-v4.001»), ejecutando ingestión y generando un informe. El tipo de informe se configuró anteriormente para ser un informe HTML.

Si ha ingresado todo correctamente, la autopsia se cargará y verá este cuadro de diálogo en el medio de la pantalla:

Si en su lugar ve el cuadro de diálogo de apertura de caso normal, lo más probable es que su línea de comando tenga un formato incorrecto. Verifique que no haya errores tipográficos y que tenga los parámetros apropiados para las operaciones que está intentando.

Si todo funciona correctamente, verá un registro del procesamiento que se está realizando y la autopsia se cerrará cuando termine.

Ver resultados

Puede abrir el caso creado en la línea de comando como cualquier otro caso de autopsia. Simplemente vaya a «Abrir caso» y luego busque la carpeta de salida que configuró en la sección Configuración y busque la carpeta que comienza con el nombre de su caso. Tendrá una marca de tiempo añadida al nombre que especificó.

Si solo está interesado en los informes, no necesita abrir Autopsia. Simplemente puede navegar a la carpeta «Informes» en el caso y acceder a los informes directamente.