描述:
默认情况下,autopsy会在端口9999上启动``autopsy取证浏览器''服务器并接受来自localhost的连接。如果指定了-p端口,则服务器将在该端口上打开,如果指定了地址,则仅会从该主机接受连接。当给出-i参数时,autopsy将进入实时分析模式。
启动时,程序将显示一个URL,以便粘贴到HTML浏览器中。浏览器必须支持框架和表单。Autopsy鉴定浏览器将允许调查人员分析由dd(1)生成的图像作为证据。该程序允许图像通过浏览文件,块,inode,或搜索块进行分析。该程序还生成autopsy报告,包括收集时间、调查人员姓名和MD5哈希值。
选项:
-c
强制程序即使在本地主机上也使用cookie。
-C
强制程序即使对远程主机也不要使用cookie。
-d evid_locker
存储案例和主机的目录。这将覆盖conf.pl中的LOCKDIR值。路径必须是一个完整的路径(即以/开头)。
-I devicefilesystem mnt
指定实时分析模式的信息。可以根据需要指定多次。设备字段用于原始文件系统设备,文件系统字段用于文件系统类型,而mnt字段用于文件系统的安装点
-p port
服务器监听的TCP端口。
addr
调查人员所在的IP地址或主机名。如果使用本地主机,则URL中必须使用'本地主机'。如果使用实际的主机名或IP,它将被拒绝。
网友评论