La forense digitale comporta il recupero e l'acquisizione di qualsiasi tipo di evidenza da dispositivi come dischi rigidi, computer, telefoni cellulari in grado di archiviare qualsiasi tipo di dati. Un'autopsia è uno strumento utilizzato dai militari, dalle forze dell'ordine e dalle diverse agenzie quando c'è un bisogno forense. Un'autopsia è fondamentalmente un'interfaccia grafica per il famoso Il kit Sleuth usato per recuperare prove da un'unità fisica e molti altri strumenti. Il kit Sleuth prende solo istruzioni di comando. D'altra parte, l'autopsia rende lo stesso processo facile e facile da usare. L'autopsia fornisce varie funzionalità che aiutano ad acquisire e analizzare i dati critici e utilizza anche strumenti diversi come lavori come Analisi della sequenza temporale, Filtro hash, dati intagliato, Exif Data,Acquisizione di artefatti web, ricerca di parole chiave, eccetera. L'autopsia utilizza più core e esegue i processi di fondo in parallelo e ti dice non appena si presenta qualcosa del tuo interesse, rendendolo uno strumento estremamente veloce e affidabile per la forense digitale.
Installazione:
Prima di tutto, esegui il seguente comando sul sistema Linux per aggiornare i repository dei pacchetti:
ubuntu@ubuntu: ~ $ sudo apt-get update
Ora eseguire il seguente comando per installare il pacchetto di autopsia:
ubuntu@ubuntu: ~ $ sudo apt Installa Autopsy
Questo installerà Autopsia del kit Sleuth Sul tuo sistema Linux.
Per i sistemi basati su Windows, semplicemente scarica Autopsia Dal suo sito ufficiale https: // www.sleuthkit.org/autopsia/.
Uso:
Acceniamo l'autopsia digitando $ autopsia nel terminale. Ci porterà a una schermata con informazioni sulla posizione dell'armadietto delle prove, dell'ora di inizio, della porta locale e della versione dell'autopsia che stiamo utilizzando.
Possiamo vedere un link qui che può portarci autopsia. Sulla navigazione a http: // localhost: 9999/autopsia Su qualsiasi browser web, saremo accolti dalla home page e ora possiamo iniziare a utilizzare Autopsia.
Creazione di un caso:
La prima cosa che dobbiamo fare è creare un nuovo caso. Possiamo farlo facendo clic su una delle tre opzioni (caso aperto, nuovo caso, aiuto) nella home page dell'autopsia. Dopo aver fatto clic su di esso, vedremo uno schermo come questo:
Inserisci i dettagli come menzionato, io.e., Il nome del caso, i nomi dell'investigatore e la descrizione del caso al fine di organizzare le nostre informazioni e prove utilizzando per questa indagine. Il più delle volte, c'è più di un investigatore che esegue l'analisi forense digitale; Pertanto, ci sono diversi campi da riempire. Una volta terminato, puoi fare clic su Nuovo caso pulsante.
Questo creerà un caso con informazioni fornite e mostra la posizione in cui viene creata la directory del caso i.e./var/lab/autopsia/ e la posizione del file di configurazione. Ora fai clic su Aggiungi host, E apparirà uno schermo come questo:
Qui non dobbiamo compilare tutti i campi indicati. Dobbiamo solo compilare il campo del nome host in cui viene inserito il nome del sistema da indagare e la sua breve descrizione. Altre opzioni sono opzionali, come specificare percorsi in cui verranno archiviati hash cattivi o quelli in cui gli altri andranno o imposterà il fuso orario di nostra scelta. Dopo aver completato questo, fare clic su Aggiungi host pulsante per vedere i dettagli che hai specificato.
Ora viene aggiunto l'host e abbiamo la posizione di tutte le directory importanti, possiamo aggiungere l'immagine che verrà analizzata. Clicca su Aggiungi immagine Per aggiungere un file di immagine e una schermata come questa verrà visualizzata:
In una situazione in cui è necessario catturare un'immagine di qualsiasi partizione o unità di quel particolare sistema informatico, l'immagine di un disco può essere ottenuta utilizzando dcfldd utilità. Per ottenere l'immagine, è possibile utilizzare il seguente comando,
ubuntu@ubuntu: ~ $ dcfldd if = Di BS = 512 COUNT = 1 hash =
if =la destinazione dell'unità di cui si desidera avere un'immagine di
di =la destinazione in cui verrà memorizzata un'immagine copiata (può essere qualsiasi cosa, e.G., disco rigido, USB ecc.)
BS = Dimensione del blocco (numero di byte da copiare alla volta)
hash =Tipo di hash (E.g md5, sha1, sha2, ecc.) (opzionale)
Possiamo anche usare dd utilità per catturare un'immagine di un'unità o di una partizione utilizzando
ubuntu@ubuntu: ~ $ dd if = di = BS = 512 conteggio = 1 hash =
Ci sono casi in cui abbiamo alcuni dati preziosi RAM Per un'indagine forense, quindi ciò che dobbiamo fare è catturare l'analisi della RAM fisica per la memoria. Lo faremo usando il seguente comando:
ubuntu@ubuntu: ~ $ dd if =/dev/fmem di = BS = 512 COUNT = 1 hash =
Possiamo dare un'occhiata inoltre dd Le varie altre importanti opzioni dell'utilità per catturare l'immagine di una partizione o della RAM fisica utilizzando il seguente comando:
ubuntu@ubuntu: ~ $ dd - -help Opzioni di aiuto DD BS = byte Leggi e scrivi a byte byte alla volta (impostazione predefinita: 512); Override IBS e OBS cbs = byte convert byte byte alla volta conv = conv converti il file secondo l'elenco dei simboli separati da virgola COUNT = N Copia solo n blocchi di input IBS = byte Leggi fino a byte byte alla volta (impostazione predefinita: 512) if = file leggi dal file anziché da stdin IFLAG = FLAG LEGGI SOTTO ELENCO DI SIBILI SEMATI Obs = byte Write byte byte alla volta (impostazione predefinita: 512) di = file scrivi su file anziché stdout OfLag = Flags Scrivi secondo l'elenco dei simboli separati da virgola Seek = N Skip n Blocchi di dimensioni Obs all'inizio dell'uscita Skip = n Skip n blocchi di dimensioni IBS all'inizio dell'input Status = Livello il livello di informazioni da stampare su Stderr; "Nessuno" sopprime tutto tranne i messaggi di errore, "Noxfer" sopprime le statistiche di trasferimento finale, "Progress" mostra statistiche di trasferimento periodiche N e byte possono essere seguiti dai seguenti suffissi moltiplicativi: c = 1, w = 2, b = 512, kb = 1000, k = 1024, mb = 1000*1000, m = 1024*1024, xm = m, GB = 1000*1000*1000, G = 1024*1024*1024 e così via per T, P, E, Z, Y. Ogni simbolo conv può essere: ASCII da EBCDIC ad ASCII ebcdic da ASCII a ebcdic IBM da ASCII a EBCDIC alternativo Block pad record terminati con nuova linea con spazi per dimensioni di CBS Sblocco Sostituire gli spazi finali nei record di dimensioni della CBS con una linea new Case Cambia maiuscolo in minuscolo Ucase Cambia il minuscolo in maiuscolo Sparse prova a cercare piuttosto che scrivere l'output per i blocchi di input NUL Swab Swap ogni coppia di byte di ingresso Sync Pad ogni blocco di input con NULS a dimensioni di IBS; Quando usato Con un blocco o un blocco, pad con spazi piuttosto che nuls Escl fallisce se il file di output esiste già Nocreat non crea il file di output Notrunc non tronca il file di output Noerror Continua dopo gli errori di lettura Fdatasync Scrivi fisicamente i dati dei file di output prima di finire anche fsync, ma scrivi anche metadati Ogni simbolo della bandiera può essere: Modalità Append Append (ha senso solo per l'output; conv = notrunc suggerito) Uso diretto I/O diretto per i dati Directory non guasto a meno che una directory dsync utilizzare I/O sincronizzato per i dati Sincronizza allo stesso modo, ma anche per i metadati Block FullBlock Accumula blocchi completi di input (solo iflag) non blocco Usa I/O non bloccante Noatime non aggiorna il tempo di accesso Richiesta di nocache per rilasciare la cache.
Useremo un'immagine denominata 8-JPEG-SEARCH-DD Abbiamo salvato sul nostro sistema. Questa immagine è stata creata per i casi di test da Brian Carrier per utilizzarla con autopsia ed è disponibile su Internet per i casi di test. Prima di aggiungere l'immagine, dovremmo controllare ora l'hash MD5 di questa immagine e confrontarla in seguito dopo averlo inserito nell'armadietto di prova, ed entrambi dovrebbero corrispondere. Possiamo generare la somma MD5 della nostra immagine digitando il seguente comando nel nostro terminale:
ubuntu@ubuntu: ~ $ md5sum 8-jpeg-search-dd
Questo farà il trucco. La posizione in cui è salvato il file di immagine /ubuntu/desktop/8-jpeg-SEARCH-DD.
L'importante è che dobbiamo entrare nell'intero percorso in cui si trova l'immagine i.R /ubuntu/desktop/8-jpeg-SEARCH-DD in questo caso. Collegamento simbolico è selezionato, il che rende il file di immagine non volgebile ai problemi associati alla copia dei file. A volte riceverai un errore di "immagine non valida", controlla il percorso del file di immagine e assicurati che il slash in avanti "/ è lì. Clicca su Prossimo ci mostrerà i nostri dettagli dell'immagine contenenti File system tipo, Drive di montaggio, e il MD5 Valore del nostro file di immagine. Clicca su Aggiungere Per posizionare il file di immagine nell'armadietto di evidenza e fare clic su OK. Apparirà uno schermo come questo:
Qui otteniamo con successo l'immagine e andiamo al nostro Analizzare porzione per analizzare e recuperare dati preziosi nel senso della forense digitale. Prima di passare alla porzione "analizza", possiamo controllare i dettagli dell'immagine facendo clic sull'opzione Dettagli.
Questo ci fornirà i dettagli del file di immagine come il filesystem utilizzato (Ntfs In questo caso), la partizione di montaggio, il nome dell'immagine e consente di effettuare più velocemente ricerche di parole chiave e recupero dei dati estraendo stringhe di interi volumi e anche spazi non allocati. Dopo aver attraversato tutte le opzioni, fai clic sul pulsante Indietro. Ora prima di analizzare il nostro file di immagine, dobbiamo controllare l'integrità dell'immagine facendo clic sul pulsante di integrità dell'immagine e generando un hash MD5 della nostra immagine.
La cosa importante da notare è che questo hash corrisponderà a quello che avevamo generato attraverso la somma di MD5 all'inizio della procedura. Una volta terminato, fare clic su Vicino.
Analisi:
Ora che abbiamo creato il nostro caso, gli ha dato un nome host, aggiunto una descrizione, ha fatto il controllo di integrità, possiamo elaborare l'opzione di analisi facendo clic su Analizzare pulsante.
Possiamo vedere diverse modalità di analisi, i.e., Analisi del file, ricerca di parole chiave, tipo di file, dettagli dell'immagine, unità dati. Prima di tutto, facciamo clic sui dettagli dell'immagine per ottenere le informazioni sul file.
Possiamo vedere informazioni importanti sulle nostre immagini come il tipo di file system, il nome del sistema operativo e la cosa più importante, il numero di serie. Il numero di serie di volume è importante in tribunale in quanto mostra che l'immagine che hai analizzato è la stessa o una copia.
Diamo un'occhiata al Analisi del file opzione.
Possiamo trovare un sacco di directory e file presenti all'interno dell'immagine. Sono elencati nell'ordine predefinito e possiamo navigare in una modalità di navigazione file. Sul lato sinistro, possiamo vedere la directory corrente specificata e la parte inferiore di essa, possiamo vedere un'area in cui è possibile cercare parole chiave specifiche.
Di fronte al nome del file, ci sono 4 campi denominati scritto, accessibile, modificato, creato. Scritto significa la data e l'ora in cui il file è stato scritto l'ultima volta, Accesso significa che si accede all'ultima volta il file (in questo caso l'unica data è affidabile), Cambiato significa che l'ultima volta che i dati descrittivi del file sono stati modificati, Creato significa la data e l'ora in cui il file è stato creato e Metadati Mostra le informazioni su file diverse dalle informazioni generali.
In alto, vedremo un'opzione di Generare hash MD5 dei file. E ancora, ciò garantirà l'integrità di tutti i file generando gli hash MD5 di tutti i file nella directory corrente.
Il lato sinistro del Analisi del file La scheda contiene quattro opzioni principali, i.e., Directory Seek, FileName Search, tutti i file eliminati, espandere le directory. Directory Seek consente agli utenti di cercare le directory che si desidera. Ricerca del nome file consente la ricerca di file specifici nella directory data,
Tutti i file eliminati contenere i file eliminati da un'immagine con lo stesso formato, i.e., Scritto, accessibile, creato, metadati e opzioni modificate e sono mostrate in rosso come indicato di seguito:
Possiamo vedere che il primo file è un jpeg file, ma il secondo file ha un'estensione di "Hmm". Diamo un'occhiata ai metadati di questo file facendo clic sui metadati a destra.
Abbiamo scoperto che i metadati contiene a Jfif ingresso, il che significa Formato di interscambio di file jpeg, Quindi capiamo che è solo un file di immagine con un'estensione di "Hmm". Espandere le directory espande tutte le directory e consente a un'area più grande di lavorare con directory e file all'interno delle directory indicate.
Ordinamento dei file:
Non è possibile analizzare i metadati di tutti i file Tipo di file scheda.'
Per ordinare le categorie di file in modo da poter ispezionare quelle con la stessa categoria con facilità. Tipo di file ha la possibilità di ordinare lo stesso tipo di file in una categoria, i.e., Archivi, audio, video, immagini, metadati, file exec, file di testo, documenti, file compressi, eccetera.
Una cosa importante nella visualizzazione di file ordinati è che l'autopsia non consente di visualizzare i file qui; Invece, dobbiamo navigare nella posizione in cui questi vengono archiviati e visualizzarli lì. Per sapere dove vengono archiviati, fai clic su Visualizza i file ordinati Opzione sul lato sinistro dello schermo. La posizione che ci darà sarà la stessa di quella che abbiamo specificato durante la creazione del caso nel primo passaggio I.e./var/lib/autopsia/.
Per riaprire il caso, apri l'autopsia e fai clic su una delle opzioni "Caso aperto."
Caso: 2
Diamo un'occhiata all'analisi di un'altra immagine usando l'autopsia su un sistema operativo di Windows e scopriamo quale tipo di informazioni importanti possiamo ottenere da un dispositivo di archiviazione. La prima cosa che dobbiamo fare è creare un nuovo caso. Possiamo farlo facendo clic su una delle tre opzioni (caso aperto, nuovo caso, recente caso aperto) nella home page dell'autopsia. Dopo aver fatto clic su di esso, vedremo uno schermo come questo:
Fornire il nome del caso e il percorso dove archiviare i file, quindi immettere i dettagli come menzionato, i.e., Il nome del caso, i nomi dell'esaminatore e la descrizione del caso al fine di organizzare le nostre informazioni e prove utilizzando per questa indagine. Nella maggior parte dei casi, c'è più di un esaminatore che fa le indagini.
Ora fornisci l'immagine che desideri esaminare. E01(Formato di testimoni esperti), Aff(formato forense avanzato), formato grezzo (Dd) e le immagini forensi di memoria sono compatibili. Abbiamo salvato un'immagine del nostro sistema. Questa immagine verrà utilizzata in questa indagine. Dovremmo fornire il percorso completo per la posizione dell'immagine.
Chiederà di selezionare varie opzioni come l'analisi della sequenza temporale, filtrare hash, dati intagliato, dati EXIF, acquisizioni di artefatti Web, ricerca di parole chiave, parser e -mail, estrazione di file incorporata, controllo delle attività recenti, ecc. Fare clic su Seleziona tutto per la migliore esperienza e fai clic sul pulsante Avanti.
Una volta fatto tutto, fai clic su Finita e attendi il completamento del processo.
Analisi:
Esistono due tipi di analisi, Analisi morta, E Analisi dal vivo:
Un esame morto si verifica quando viene utilizzato un quadro di indagine impegnato per esaminare le informazioni da un quadro speculato. Nel momento in cui ciò accade, L'autopsia del kit sleuth può correre in un'area in cui viene sradicata la possibilità di danni. L'autopsia e il kit Sleuth offrono aiuto per i formati grezzi, esperti e AFF.
Un'indagine in diretta si verifica quando il framework presumo viene suddiviso mentre è in esecuzione. In questo caso, L'autopsia del kit sleuth può funzionare in qualsiasi area (qualsiasi altra cosa che uno spazio limitato). Questo viene spesso utilizzato durante la reazione di occorrenza mentre l'episodio viene affermato.
Ora prima di analizzare il nostro file di immagine, dobbiamo controllare l'integrità dell'immagine facendo clic sul pulsante di integrità dell'immagine e generando un hash MD5 della nostra immagine. La cosa importante da notare è che questo hash corrisponderà a quello che abbiamo avuto per l'immagine all'inizio della procedura. L'hash dell'immagine è importante in quanto dice se l'immagine data è manomessa o no.
Nel frattempo, Autopsia ha completato la sua procedura e abbiamo tutte le informazioni di cui abbiamo bisogno.
Prima di tutto, inizieremo con informazioni di base come il sistema operativo utilizzato, l'ultima volta che l'utente ha effettuato l'accesso e l'ultima persona che ha avuto accesso al computer durante il periodo di un incidente. Per questo, andremo a Risultati> Contenuto estratto> Informazioni sul sistema operativo Sul lato sinistro della finestra.
Per visualizzare il numero totale di conti e tutti i conti associati, andiamo a Risultati> Contenuto estratto> Account utente del sistema operativo. Vedremo uno schermo come questo:
Le informazioni come l'ultima persona che accede al sistema e davanti al nome utente, ci sono alcuni campi chiamati Accesso, modificato, creato.Accesso significa l'ultima volta che è stato accessibile l'account (in questo caso, l'unica data è affidabile) e CREATTO significa la data e l'ora dell'account è stata creata. Possiamo vedere che l'ultimo utente ad accedere al sistema è stato nominato Sig. Cattivo.
Andiamo al File di programma cartella su C Drive situata sul lato sinistro dello schermo per scoprire l'indirizzo fisico e Internet del sistema informatico.
Possiamo vedere il IP (Indirizzo del protocollo Internet) e MAC Indirizzo del sistema informatico elencato.
Andiamo a Risultati> Contenuto estratto> Programmi installati, Possiamo vedere qui sono i seguenti software utilizzati nello svolgere attività dannose relative all'attacco.
Cain & Abel: un potente strumento di annusamento di pacchetti e strumento di cracking password utilizzato per il filo di pacchetto.
Anonimizzatore: uno strumento utilizzato per nascondere tracce e attività l'utente dannoso.
Ethereal: uno strumento utilizzato per il monitoraggio del traffico di rete e l'acquisizione di pacchetti su una rete.
Carino FTP: un software FTP.
NetStumbler: uno strumento utilizzato per scoprire un punto di accesso wireless
WinPcap: uno strumento rinomato utilizzato per l'accesso alla rete a livello di collegamento nei sistemi operativi di Windows. Fornisce accesso a basso livello alla rete.
Nel /Windows/System32 Posizione, possiamo trovare gli indirizzi e -mail dell'utente utilizzato. Possiamo vedere Msn Email, Hotmail, Outlook Indirizzi e -mail. Possiamo anche vedere il Smtp Indirizzo e -mail proprio qui.
Andiamo in un luogo dove Autopsia memorizza possibili file dannosi dal sistema. Navigare verso Risultati> Articoli interessanti, E possiamo vedere un regalo di bomba zip chiamato UNIX_HACK.TGZ.
Quando abbiamo navigato al /Riciclatore Posizione, abbiamo trovato 4 file eseguibili eliminati denominati DC1.EXE, DC2.EXE, DC3.exe e dc4.exe.
Ethereal, un famoso annusare Viene anche scoperto lo strumento che può essere utilizzato per monitorare e intercettare tutti i tipi di traffico di rete cablato e wireless. Abbiamo riassemblato i pacchetti catturati e la directory in cui è salvato /Documenti, Il nome del file in questa cartella è Intercettazione.
In questo file possiamo vedere i dati come la vittima del browser e il tipo di computer wireless e scoperto che era Internet Explorer su Windows CE. I siti Web a cui la vittima accedeva erano Yahoo E Msn .com, e questo è stato trovato anche nel file di intercettazione.
Sulla scoperta del contenuto di Risultati> Contenuto estratto> cronologia del web,
Possiamo vedere esplorando i metadati di file dati, la cronologia dell'utente, i siti Web che visita e gli indirizzi e -mail che ha fornito per l'accesso.
Ripristina file eliminati:
Nella parte precedente dell'articolo, abbiamo scoperto come estrarre importanti informazioni da un'immagine di qualsiasi dispositivo in grado di archiviare dati come telefoni cellulari, dischi rigidi, sistemi informatici, ecc. Tra i talenti necessari più elementari per un agente forense, il recupero di record cancellati è presumibilmente il più essenziale. Come probabilmente sei a conoscenza, i documenti che vengono "cancellati" rimangono sul dispositivo di archiviazione a meno che non vengano sovrascritti. Cancella questi record fondamentalmente rende il dispositivo accessibile per essere sovrascritto. Ciò implica se il sospetto ha cancellato i record di prova fino a quando non viene sovrascritto dal framework dei documenti, rimane accessibili a noi per recuperare.
Ora esamineremo come recuperare i file o i record eliminati utilizzando L'autopsia del kit sleuth. Segui tutti i passaggi sopra e quando l'immagine viene importata, vedremo uno schermo come questo:
Sul lato sinistro della finestra, se espandiamo ulteriormente il Tipi di file Opzione, vedremo un sacco di categorie denominate Archivi, audio, video, immagini, metadati, file exec, file di testo, documenti (html, pdf, parola, .PPX, ecc.), file compressi. Se facciamo clic su immagini, Mostrerà tutte le immagini recuperate.
Un po 'più avanti, nella sottocategoria di Tipi di file, Vedremo un nome di opzione File eliminati. Facendo clic su questo, vedremo alcune altre opzioni sotto forma di schede etichettate per l'analisi nella finestra in basso a destra. Le schede sono nominate Esagono, risultato, testo indicizzato, stringhe, E Metadati. Nella scheda Metadata, vedremo quattro nomi scritto, accessibile, modificato, creato. Scritto significa la data e l'ora in cui il file è stato scritto l'ultima volta, Accesso significa che si accede all'ultima volta il file (in questo caso l'unica data è affidabile), Cambiato significa che l'ultima volta che i dati descrittivi del file sono stati modificati, Creato significa la data e l'ora in cui il file è stato creato. Ora per recuperare il file eliminato che desideriamo, fare clic sul file eliminato e selezionare Esportare. Chiederà una posizione in cui verrà archiviato il file, selezionare una posizione e fare clic su OK. I sospetti si sforzano spesso di coprire le loro tracce cancellando vari file importanti. Sappiamo come una persona forense che fino a quando tali documenti non saranno sovrascritti dal file system, possono essere recuperati.
Conclusione:
Abbiamo esaminato la procedura per estrarre le informazioni utili dalla nostra immagine target utilizzando L'autopsia del kit sleuth Invece di singoli strumenti. Un'autopsia è un'opzione di riferimento per qualsiasi investigatore forense e per la sua velocità e affidabilità. L'autopsia utilizza più processori core che eseguono i processi di fondo in parallelo, il che aumenta la sua velocità e ci dà risultati in un minor tempo e visualizza le parole chiave cercate non appena si trovano sullo schermo. In un'epoca in cui gli strumenti forensi sono una necessità, l'autopsia fornisce le stesse funzionalità di base gratuite degli altri strumenti forensi a pagamento.
L'autopsia precede la reputazione di alcuni strumenti a pagamento e fornisce alcune funzionalità extra come l'analisi del registro e l'analisi degli artefatti web, che gli altri strumenti non fanno. Un'autopsia è nota per il suo uso intuitivo della natura. Un rapido clic destro apre il documento significativo. Ciò implica accanto a zero sopportare il tempo di scoprire se i termini di inseguimento espliciti sono sulla nostra immagine, telefono o PC che viene esaminato. Allo stesso modo gli utenti possono fare un backtrack quando le missioni profonde si trasformano in vicoli ciechi, usando le catture della cronologia avanti e indietro per aiutare a seguire i loro mezzi. Il video può anche essere visto senza applicazioni esterne, accelerando l'uso.
Prospettive in miniatura, tipo di registrazione e tipo di documento che dispone di filtrare i buoni file e segnalare per terribili, usando set di set di hash personalizzato sono solo una parte di diversi punti salienti da trovare su L'autopsia del kit sleuth versione 3 che offre miglioramenti significativi dalla versione 2.La tecnologia di base ha generalmente sovvenzionato il lavoro sulla versione 3, in cui Brian Carrier, che ha svolto gran parte del lavoro sulle preventivi precedenti di Autopsia, è CTO e capo della criminologia avanzata. Anche lui è visto come un maestro Linux e ha composto libri sull'argomento del mining di informazioni misurabili e la tecnologia di base crea Il kit Sleuth. Pertanto, molto probabilmente i clienti possono sentirsi davvero sicuri di ottenere un oggetto decente, un oggetto che non svanirà in nessun momento nel prossimo futuro, e uno che probabilmente sarà tutto intorno a ciò che verrà.
