el caso fué creado y el nombre del directorio que es reservado para uso futuro. Este
archivo debe existir para todos los casos. El archivo case.log es el archivo de auditoría
para el caso y su contenido será discutido en la sección Detalles de Registro de sucesos.
El archivo investigators.txt contiene una lista de los investigadores que están trabajando
en el caso. Estos nombres son utilizados solo para registro y no autenticación. Para
restringir el acceso, se puede utilizar los grupos de Unix. Después de todo, si los
permisos en las estaciones de análisis permiten al usuario escribir en las imagenes de
los sistemas de archivos, el usuario siempre podrá eludir cualquier autenticación que
Autopsy requiera. El archivo investigators.txt contiene los nombres de los investigadores
en cada línea. Si no se especificaron investigadores cuando se creó el caso, entonces no
existirá el archivo. Para añadir o retirar usuarios, simplemente se edita este archivo a
mano.
Para borrar un caso, simplemente se elimina el directorio (utilizando 'rm -rf CASO'). Para
archivar el caso, se puede utilizar el comando 'tar' (Donde CASO es reemplazado por el
nombre actual del caso):
# tar cf CASO.tar CASO
# gzip CASO.tar
Los usuarios que necesiten añadir hosts a un caso necesitarán permisos de escritura
para el directorio del caso. Todos los demás usuarios necesitarán permisos de lectura y
ejecución. Todos los usuarios necesitan permisos de escritura para el archivo de registro
del caso, pero no necesitan permisos de lectura. Todos los usuarios necesitan permisos
de lectura para el archivo de configuración, pero no necesitan permisos de escritura.
Detalles del Host
Cada Host tiene un directorio en el directorio del caso. El nombre del Host es el mismo
que el nombre del directorio. Por lo tanto, para renombrar el Host después de que ha
sido creado, simplemente se renombra el directorio.
# mv host-antiguo host-nuevo
El directorio Host contiene cinco directorios:
- images: Donde todas las imágenes de sistema de archivos están localizados.
- logs: Donde el registro de sucesos del Host, registro del investigador, y las notas del
investigador son almacenadas. Este contenido se discutirá en la sección de Detalles de
Registro de sucesos.
- mnt: Actualmente no utilizado por Autopsy, pero puede ser utilizado para montar
manualmente imagenes en el dispositivo loopback de Linux. Las futuras versiones de
Autopsy montarán aquí las imágenes.
- output: Donde se guardan todos los archivos de salida de Autopsy. Esto incluye espacio
sín asignar, archivos de cadenas, líneas de tiempo del cuerpo de archivos, líneas de
tiempo, y archivos temporales.
- reports: Actualmente no es utilizado por Autopsy, pero puede contener reportes que
serán creadas en futuras versiones de Autopsy.
Los directorios images y output tienen un archivo md5.txt. Este archivo contiene el valor