DFF(Digital Forensics Framework)について質問があります。より正確にはコンソールモードについてです。
わかりました。 GUIモードがありますが、PHP経由でWebアプリケーションで使用するにはコンソールモードが必要です。
したがって、 dff --help を使用するときに私が見る情報は実際にはあまり役に立ちません。さらに、プロジェクトのWikiは今閉じています:http://wiki.digital-forensic.org/
一部の.rawイメージを開き、既存のファイルと削除されたファイルをエクスポートするにはDFFが必要です。ただし、これを行うにはコンソールモードを使用する必要があります。これを行う方法や、DFFコンソールモードに関するドキュメントをどこで入手できるのかわかりません。
たぶん誰かがこのフレームワークを使っているのか、文書をどこで見つけることができるのか知っていますか?
答え1
申し訳ありません。 DFFには慣れていませんが、Sleuthkit
要求どおりに機能します。開いている生イメージはファイルシステムを識別し、ファイルのリストを表示し、既存のファイルと(可能であれば)削除されたファイルを抽出します。 package.jsonを使用できるため、独自のWebインタフェースを構築する必要はありませんAutopsy
。これにより、リモートで作業できます。機能と安定性は絶えず改善され、よく文書化されています。さらに、EWF法医学証拠フォーマットと直接連携して一部のディスクスペースを節約し、時には証拠データの大部分を節約することができます(特に保存に失敗した場合)。