首页手艺办事常识库罕见题目

FTK综合阐发软件罕见题目解答(二)

2013-12-24

        近期,瑞源公司连续收到用户对FTK操纵技能的题目,在此特由具备ACE认证的工程师停止解答。更多题目,接待发至 support.list@benalmadenaapartamentos.com

FTK V4.1的新功效视频抽帧若何利用?
今朝利用的FTK为Oracle数据库, 须要进级到PostgreSQL数据库,若何将案件普通挂载到PostgreSQL数据库中?
若何设置装备摆设小型散布式处置办事?
甚么是恍惚哈希(Fuzzy Hash)?
若何利用恍惚哈希?

问: FTK V4.1的新功效视频抽帧若何利用?
: 在FTK V4.1中新增视频栏, 能够对视频停止必然的阐发操纵。
视频抽帧和视频格局转换
挑选“建立视频缩略图”, 用户能够按照本身须要按照两种体例:比例(百分之几一帧)和距离(多长时辰一帧)来停止抽帧(截图)操。能够在检材初度处置的时辰停止挑选,也能够再附加阐发时停止挑选,以下图所示

同时用户也能够挑选“建立常常利用视频文件”,将差别格局的视频文件转换成Windows Media Player撑持的视频文件(文件将贮存在案件文件夹中)。以下图所示
 

问: 今朝利用的FTK是Oracle数据库, 须要进级到PostgreSQL数据库,若何将案件普通挂载到PostgreSQL数据库中?    
答: 挑选须要转移的案件(若是须要多选,请按住Ctrl键并点击多个案件),而后挑选菜单栏上的案件→备份→备份, 将须要转移的案件备份至一个新建文件夹中(此时能够删除案件节流空间)。
装置PostgreSQL数据库(最好先卸载Oracle)和FTK软件, 翻开FTK, 挑选菜单栏上的案件 →规复→规复, 挑选方才备份的文件夹后挑选肯定导入。FTK将会主动将备份的案件导入新的数据库中。                                                                                                        

问: 若何设置装备摆设小型散布式处置办事?                                                                                                               前往页首
答: FTK具备设置装备摆设小型散布式处置办事的功效,能够在局域网(同网段)中挂载最多3个散布式处置器。请先确认须要装置位散布式处置装备的主机并确认IP地点(必须为牢固IP地点,即手动设定),而后别离在作为散布式处置引擎的主机上装置且仅装置FTK Processing Engine, 同时在装置时挑选装置为Distributed Processing Engine。此时在FTK操纵主机中测验考试PING一下各散布式引擎, 若是都可PING通就能够翻开FTK停止设置装备摆设。
在FTK的主界面上挑选菜单栏上的东西→正在处置引擎设置装备摆设
以下图所示(图中利用样例IP,请按照现实环境设置)。注重: 如利用默许端口, 请确认此端口翻开, 并不被防火墙隔绝。
 
 设置装备摆设实现后, 如散布式处置引擎均在启用状况, FTK将会在现实任务中主动按照任务量分派任务利用散布式引擎, 同时请注重, 对小型检材散布式引擎不会启用。当处置大型检材时(普通来讲500G硬盘, 且包罗40/50万个零丁文件就举动当作中型检材), 散布式处置功效就会主动启用。无间接路子能够检查散布式引擎任务与否, 但可在处置日记中检查。

问:甚么是恍惚哈希(Fuzzy Hash)?
答:哈希是每一个文件零丁具备的数字署名, 对差别的文件是完整差别的, 哪怕在文件中仅仅转变一个空格, 全部文件的哈希值就会发生庞大的变更。同时, 在现实操纵中, 咱们常常会碰到查找某些特定文件的环境, 但两个文件固然内容大抵不异却并非完整一样(能够其笔墨内容/格局有必然变更, 内置图片或附件有必然变更)。此时KFF或间接利用哈希查找的方式就不可利用了。但FTK具备恍惚哈希功效,此功效将按照方针文件内容搜刮出近似文件。
如在现实案例中, 咱们须要搜刮一个邪教构造文件, 普通来讲此类文件都有牢固模版, 但此中内容会按照地域, 时辰, 东西的差别停止点窜。若是间接利用哈希值搜刮因为文件的格局,内容,文件名,建立时辰等有转变, 以是不能给间接搜刮出此文件。而关头词搜刮又会反应大批数据而大大增添任务量。但利用了恍惚哈希咱们就能够最直观的找到与模版近似的一切文件。

问: 若何利用恍惚哈希?                    
答:零丁近似文件搜刮:
1.起首须要在预处置或后续处置(附件阐发)中点选“恍惚散列(F)”, 并停止处置
2.挑选东西→恍惚散列(搜刮近似文件)
3.选则“挑选要比拟的文件”, 并确认须要比拟的文件.
4.调理“最小婚配近似度”处, 1到100, 100为完整不异
5.选中须要比拟的证据项, 并点选下方“搜刮”
就能够获得一切具备近似度的文件(挨次从最近似到最不近似)。         

多个近似文件恍惚哈希库搜刮:
1.设置装备摆设哈希库: 在已翻开的案件中挑选办理  恍惚哈希库  办理库…
挑选左下方“新建”选项,新建一个恍惚哈希组,能够按照须要自立调理婚配前提。请注重默许婚配状况为“疏忽”, 若是要找特定文件则须要改成“警报” 如图所示:  ,实现后点击肯定保管,此时在左边散列组中能够看到方才建立好的新组。
而后点选右下角“新建”, 在弹出的对话框中点选“从文件”后挑选须要对照的文件模版。FTK会主动计较出散列属性(上方描写即称号能够随便点窜, 但请勿点窜散列值)。 最初在“散列组”中挑选方才建立的组名并挑选肯定便可。 同时也能够手动输出描写和散列值。
一样操纵可增加更多的文件到不异或差别的哈希库中。
2.挑选证据  附加阐发…
FTK会主动运转, 并停止比拟。当处置实现后, 咱们就能够在阅读栏中文件列表中看到下述表头
 
在此表头随便地位上点击鼠标右键, 能够停止“列设置”, 点开“一切功效”并找到“恍惚散列库得分”, 选中此项并增加到右边栏中,肯定保管后就能够在文件列表中检查恍惚哈希近似度得分了(分值越高近似度越高)。
3.也能够按照散列组中的设置(疏忽或警报), 新建特定过滤器, 以下图所示,过滤后就能够获得一切合适恍惚哈希值得文件。                        前往页首