Autopsy

這個軟體第一次google的時候被屍體的圖片嚇到了,名字翻成中文是叫做驗屍,的確滿適合分類在鑑識科學上面的XD。它主要功能是分析鏡像變更紀錄,好像可以會附一些資料的樣子（？）

日記

今天應該來不及把圖片整理完（目死

身為初新者，首先當然要先去下載現成的映像檔！
打開autopsy會出現terminal右鍵點選網址用網頁打開
點選new case 把case name（專案名字）, discription（敘述）, Investigator Names（自己的代號（？））填一填後按new case
點選add host 把下面的填一填
點選add image,再把下載的檔案路徑複製貼上放進去面
選擇Type： Partition 和 Import Method:Symlink.
下一步Mount Point: C: （我猜是原本映像檔的資料位置） File System Type: ntfs（因為這映像檔是ntfs的格式）點選新增
點選 Image Integrity計算checksum(不是很懂為什麼要checksum QAQ)
回到主頁，點選 analyze
選file analyze 再點 all delete files 就可以看到之前被刪掉的檔案了！！！！

之後有時間會在多查點資料重新編輯過qq

參考資料：
https://www.computersecuritystudent.com/FORENSICS/AUTOPSY/lesson1/index.html
https://itw01.com/4PCQEDD.html