Судебные средства

Установка Sleuth Kit

1. Загрузите и распакуйте файл с прилагаемого к книге компакт-диска или web-сайта.
2. В этом же каталоге наберите:

   make

   Программа автоматически сконфигурирует и скомпилирует себя. В процессе установки она может задать вам несколько вопросов.

Установка Autopsy Forensic Browser

Эта программа - графический интерфейсный компонент для Sleuth Kit. Ее применение вместе с Sleuth Kit существенно облегчит вашу жизнь и позволит порождать привлекательный графический вывод. При желании можно по-прежнему независимо применять средства командной строки Sleuth Kit.

1. Прежде чем начинать установку Autopsy, удостоверьтесь, что инструментарий Sleuth Kit установлен.
2. Возьмите файл Autopsy с web-сайта или из каталога /autopsy прилагаемого к книге компакт-диска.
3. Распакуйте его с помощью обычной команды tar -zxvf.
4. Держите маршрут к программному каталогу Sleuth Kit под рукой и подумайте о том, где разместить "сундук с уликами" - специальный каталог, где будут располагаться все данные рассматриваемого с применением Sleuth Kit дела.
5. Наберите команду make. Она установит программу и при этом попросит вас указать каталог для хранения данных и каталог, в который установлен Sleuth Kit.

Применение Sleuth Kit и Autopsy Forensic Browser

1. Чтобы запустить серверную программу, наберите ./autopsy & в каталоге autopsy. Сервер будет работать в фоновом режиме с портом 9999.
2. Скопируйте универсальный локатор ресурсов, который выдается при запуске сервера. Он понадобится для входа в серверную систему.
3. Для подключения к серверу откройте web-навигатор и введите URL, который вы скопировали из адресного окна на шаге 2. Он выглядит примерно так: http://localhost:9999/654378938759042387490587/autopsy

   Число между косыми чертами изменяется при каждом запуске Sleuth Kit. После ввода URL появится основной экран (рис. 11.1).

   

   
   Рис. 11.1. Основной экран Autopsy Forensic Browser

Заведение и протоколирование дела

Sleuth Kit вместе с Autopsy Forensic Browser позволяет контролировать несколько дел, чтобы можно было отслеживать различные инциденты и различных заказчиков. Необходимо завести дело для хранения свидетельских файлов, прежде чем с ними можно будет работать.

1. На основном экране щелкните мышью на New Case. Появится экран заведения нового дела (рис. 11.2).
   

   
   Рис. 11.2. Экран Create a New Case
2. Введите название дела. Оно послужит именем каталога, в котором хранятся свидетельские данные. Этот каталог будет создан в основном каталоге для хранения свидетельств, заданном при установке.
3. При желании можно дать делу полное имя, которое лучше его характеризует.
4. Необходимо создать по крайней мере один идентификатор следователя для доступа к делу. В этом проявляется развитость программы. Данная возможность позволяет подключать к работе над одним делом несколько человек и отслеживать доступ и действия каждого. Щелкните мышью на New Case, чтобы завершить ввод.
5. Когда дело заведено, выводится Case Gallery с отображением всех заведенных вами дел. Можно видеть детали каждого дела, включая следователей, которые с ним работают. Выберите свое новое дело, щелкните мышью на OK и войдите в него.

Теперь вы завели дело, вошли в него и готовы с ним работать.