🔬 Autopsy - Digital Forensics Platform

🔍 Digital Forensics 💾 Disk Analysis 🕵️ Evidence Recovery

Category: 8️⃣ Forensics Tools

📝 Description

Autopsy एक ग्राफिकल डिजिटल फॉरेंसिक प्लेटफॉर्म है जो The Sleuth Kit (TSK) पर आधारित है। यह हार्ड ड्राइव, मेमोरी कार्ड, और मोबाइल डिवाइस से डेटा रिकवर करने और एनालिसिस करने के लिए उपयोग किया जाता है। Autopsy स्वचालित रूप से फाइल्स, फोटो, ईमेल, चैट हिस्ट्री, वेब हिस्ट्री, और डिलीट की गई फाइल्स को रिकवर करता है। यह साइबर अपराध जांच, फॉरेंसिक इन्वेस्टिगेशन, और डेटा रिकवरी के लिए सबसे लोकप्रिय टूल है।

विशेषता: Autopsy की सबसे बड़ी खासियत है इसका यूजर-फ्रेंडली GUI और ऑटोमेटेड एनालिसिस। यह आपको फाइल सिस्टम ब्राउज़ करने, डिलीट फाइल्स रिकवर करने, और डेटा की टाइमलाइन बनाने की सुविधा देता है।

📦 Installation

Kali Linux (पहले से इंस्टॉल):

autopsy

Ubuntu/Debian:

sudo apt update
sudo apt install autopsy -y

Windows:

https://www.autopsy.com/download/ से डाउनलोड करें और इंस्टॉल करें।

macOS:

brew install autopsy

💻 Autopsy के मुख्य फीचर्स (उदाहरण सहित)

📌 Autopsy शुरू करना:

sudo autopsy

👉 उदाहरण: Web Interface: http://127.0.0.1:9999/autopsy पर उपलब्ध होता है।

🔹 1. नया केस (Case) बनाना:

👉 उदाहरण: "File → New Case" → केस नाम दें (जैसे "Cyber_Crime_Case_001") → Create.

🔹 2. डिस्क इमेज या ड्राइव जोड़ना:

👉 उदाहरण: "Add Data Source" → डिस्क इमेज (E01, DD, RAW) या फिजिकल ड्राइव सेलेक्ट करें → Next.

🔹 3. ऑटोमेटेड एनालिसिस (Ingest Modules):

👉 उदाहरण: इमेज जोड़ने के बाद Ingest Modules सेलेक्ट करें (Recent Activity, Hash Lookup, Email Parser, etc.) → Start.

🔹 4. डिलीट फाइल्स रिकवर करना:

👉 उदाहरण: Data Sources → Deleted Files → डिलीट फाइल्स की लिस्ट दिखती है → Right Click → Extract File.

🔹 5. फाइल सिस्टम ब्राउज़ करना:

👉 उदाहरण: File View → डायरेक्टरी स्ट्रक्चर में जाकर फाइल्स देख सकते हैं।

🔹 6. टाइमलाइन व्यू:

👉 उदाहरण: Timeline Tab → टाइम के हिसाब से सभी गतिविधियाँ दिखती हैं (फाइल क्रिएशन, डिलीशन, एक्सेस).

🔹 7. ईमेल एनालिसिस:

👉 उदाहरण: Email Tab → PST, OST, MBOX फाइल्स से ईमेल पढ़ सकते हैं.

🔹 8. वेब हिस्ट्री एनालिसिस:

👉 उदाहरण: Web Bookmarks Tab → Chrome, Firefox, Edge से ब्राउज़र हिस्ट्री, बुकमार्क्स, कुकीज़ देख सकते हैं.

🔹 9. रिपोर्ट जनरेट करना:

👉 उदाहरण: Generate Report → HTML, Excel, PDF फॉर्मेट में रिपोर्ट बना सकते हैं.

🔹 10. कीवर्ड सर्च:

👉 उदाहरण: Keyword Search Tab → "password", "confidential" जैसे कीवर्ड सर्च कर सकते हैं.

🎯 Autopsy के मुख्य मॉड्यूल्स (Ingest Modules):

Recent Activity: हाल की गतिविधियाँ (फाइल्स, ऐप्स, डॉक्यूमेंट्स)
Hash Lookup: NSRL (National Software Reference Library) से हैश मिलान
Email Parser: ईमेल फाइल्स (PST, OST, MBOX) पार्स करना
Web Bookmarks: ब्राउज़र हिस्ट्री, बुकमार्क्स, कुकीज़
Exif Parser: फोटो से मेटाडेटा (GPS लोकेशन, कैमरा मॉडल, डेट)
File Type Identification: फाइल टाइप डिटेक्शन (सिग्नेचर बेस्ड)
Embedded File Extractor: जिप, पीडीएफ, ऑफिस फाइल्स से एंबेडेड फाइल्स निकालना
PhotoRec Carver: डिलीट फाइल्स को कार्विंग करना
Android Analyzer: एंड्रॉइड बैकअप और इमेज एनालिसिस

🎯 Use Cases (उपयोग के तरीके)

साइबर अपराध जांच: संदिग्ध ड्राइव से सबूत इकट्ठा करना।
डेटा रिकवरी: डिलीट की गई फाइल्स, फोटो, दस्तावेज़ रिकवर करना।
फॉरेंसिक ऑडिट: कंपनी के एम्प्लॉयी की गतिविधियों की जांच।
मैलवेयर एनालिसिस: संक्रमित सिस्टम से मैलवेयर आर्टिफैक्ट्स ढूँढना।
मोबाइल फॉरेंसिक: एंड्रॉइड और iOS बैकअप एनालिसिस।

⚙️ Key Features (मुख्य विशेषताएँ)

✔️ ग्राफिकल यूजर इंटरफेस (Web-based)
✔️ ऑटोमेटेड एनालिसिस (Ingest Modules)
✔️ डिलीट फाइल्स रिकवरी
✔️ फाइल सिस्टम सपोर्ट (NTFS, FAT, exFAT, EXT, HFS+)
✔️ ईमेल एनालिसिस (PST, OST, MBOX)
✔️ वेब ब्राउज़र हिस्ट्री (Chrome, Firefox, Edge, IE)
✔️ टाइमलाइन व्यू
✔️ कीवर्ड सर्च और रेगुलर एक्सप्रेशन
✔️ हैश लुकअप (NSRL, कस्टम)
✔️ एक्सिफ मेटाडेटा पार्सर (फोटो से GPS लोकेशन)
✔️ एंड्रॉइड और iOS सपोर्ट
✔️ HTML, Excel, PDF फॉर्मेट में रिपोर्ट
✔️ ओपन-सोर्स और फ्री

📌 Autopsy के लिए सपोर्टेड इमेज फॉर्मेट:

DD / RAW: .dd, .raw, .img
E01 (EnCase): .e01, .e02
AFF (Advanced Forensic Format): .aff, .afm
Logical Files: फोल्डर या एकल फाइल
Physical Drive: लाइव ड्राइव (Windows: \\.\PhysicalDrive0, Linux: /dev/sda)

📌 Autopsy vs The Sleuth Kit (TSK):

Autopsy: GUI, Web-based, ऑटोमेटेड, बिगिनर-फ्रेंडली
The Sleuth Kit (TSK): कमांड लाइन, मैनुअल, एक्सपर्ट्स के लिए
अनुशंसा: Autopsy से शुरुआत करें, फिर TSK कमांड्स सीखें।

📌 Autopsy के लिए सुझाव:

हमेशा डिस्क इमेज (E01) बनाकर काम करें, लाइव ड्राइव पर नहीं
पहले Quick Ingest Modules चुनें (Recent Activity, Hash Lookup, Email Parser)
टाइमलाइन से घटनाओं का क्रम समझें
डिलीट फाइल्स को पहले रिकवर करें
रिपोर्ट जनरेट करना न भूलें (HTML फॉर्मेट सबसे अच्छा)

🔗 Official Resources

Official Website: https://www.autopsy.com
GitHub Repository: https://github.com/sleuthkit/autopsy
Documentation: Autopsy User Guide
The Sleuth Kit: https://www.sleuthkit.org

🔧 Related Tools (समान उपकरण)

The Sleuth Kit (TSK): Autopsy का कमांड लाइन वर्शन
FTK Imager: फोरेंसिक इमेजिंग टूल (AccessData)
EnCase: कमर्शियल फोरेंसिक टूल
X-Ways Forensics: एडवांस्ड फोरेंसिक टूल
Foremost: फाइल कार्विंग टूल
Binwalk: फर्मवेयर एनालिसिस टूल

⚠️ Important Note (सावधानी)

Autopsy एक शक्तिशाली डिजिटल फॉरेंसिक टूल है। इसका उपयोग केवल कानूनी और नैतिक उद्देश्यों के लिए करें। बिना अनुमति के किसी की डिस्क एनालिसिस करना कानूनी अपराध है। हमेशा अपने खुद के डेटा या कानूनी रूप से अधिकृत केस पर ही प्रैक्टिस करें। फोरेंसिक जांच में डिस्क इमेज की इंटीग्रिटी बनाए रखें (हैश वेरिफिकेशन)। Autopsy का उपयोग सीखने और सुरक्षा ऑडिट के लिए करें, न कि अनधिकृत डेटा एक्सेस के लिए।