首頁技術服務知識庫常見問題

主机游戏需要什么配置:FTK綜合分析軟件常見問題解答(二)

2012-12-24

二手主机游戏型 www.gkipl.icu         近期,瑞源公司陸續收到用戶關于FTK操作技巧的問題,在此特由具有ACE認證的工程師進行解答。更多問題,歡迎發至 [email protected] 。

FTK V4.1的新功能視頻抽幀如何使用?
目前使用的FTK為Oracle數據庫, 需要升級到PostgreSQL數據庫,如何將案件正常掛載到PostgreSQL數據庫中?
如何配置小型分布式處理服務?
什么是模糊哈希(Fuzzy Hash)?
如何使用模糊哈希?

問: FTK V4.1的新功能視頻抽幀如何使用?
: 在FTK V4.1中新增視頻欄, 可以對視頻進行一定的分析操作。
視頻抽幀和視頻格式轉換
選擇“創建視頻縮略圖”, 用戶可以根據自己需求按照兩種方式:比例(百分之幾一幀)和間隔(多長時間一幀)來進行抽幀(截圖)操??梢栽詡觳某醮未淼氖焙蚪醒≡?,也可以再附加分析時進行選擇,如下圖所示

同時用戶也可以選擇“創建常用視頻文件”,將不同格式的視頻文件轉換成Windows Media Player支持的視頻文件(文件將儲存在案件文件夾中)。如下圖所示
 

問: 目前使用的FTK是Oracle數據庫, 需要升級到PostgreSQL數據庫,如何將案件正常掛載到PostgreSQL數據庫中?    
答: 選擇需要轉移的案件(如果需要多選,請按住Ctrl鍵并點擊多個案件),然后選擇菜單欄上的案件→備份→備份, 將需要轉移的案件備份至一個新建文件夾中(此時可以刪除案件節省空間)。
安裝PostgreSQL數據庫(最好先卸載Oracle)和FTK軟件, 打開FTK, 選擇菜單欄上的案件 →恢復→恢復, 選擇剛剛備份的文件夾后選擇確定導入。FTK將會自動將備份的案件導入新的數據庫中。                                                                                                        

問: 如何配置小型分布式處理服務?                                                                                                               返回頁首
答: FTK具有配置小型分布式處理服務的功能,可以在局域網(同網段)中掛載最多3個分布式處理器。請先確認需要安裝位分布式處理設備的主機并確認IP地址(必須為固定IP地址,即手動設定),然后分別在作為分布式處理引擎的主機上安裝且僅安裝FTK Processing Engine, 同時在安裝時選擇安裝為Distributed Processing Engine。此時在FTK操作主機中嘗試PING一下各分布式引擎, 如果均可PING通就可以打開FTK進行配置。
在FTK的主界面上選擇菜單欄上的工具→正在處理引擎配置
如下圖所示(圖中使用樣例IP,請根據實際情況設置)。注意: 如使用默認端口, 請確認此端口打開, 并不被防火墻阻隔。
 
 配置完成后, 如分布式處理引擎均在啟用狀態, FTK將會在實際工作中自動根據工作量分配工作使用分布式引擎, 同時請注意, 對于小型檢材分布式引擎不會啟用。當處理大型檢材時(一般來說500G硬盤, 且包含40/50萬個單獨文件就算做中型檢材), 分布式處理功能就會自動啟用。無直接途徑可以查看分布式引擎工作與否, 但可在處理日志中查看。

問:什么是模糊哈希(Fuzzy Hash)?
答:哈希是每個文件單獨具有的數字簽名, 對于不同的文件是完全不同的, 哪怕在文件中僅僅改變一個空格, 整個文件的哈希值就會產生巨大的變化。同時, 在實際操作中, 我們經?;嵊齙講檎夷承┨囟ㄎ募那榭? 但兩個文件雖然內容大致相同卻并非完全一樣(可能其文字內容/格式有一定變化, 內置圖片或附件有一定變化)。此時KFF或直接使用哈希查找的方法就不可使用了。但FTK具有模糊哈希功能,此功能將根據目標文件內容搜索出類似文件。
如在實際案例中, 我們需要搜索一個邪教組織文件, 一般來說此類文件都有固定模版, 但其中內容會根據地區, 時間, 對象的不同進行修改。如果直接使用哈希值搜索由于文件的格式,內容,文件名,創建時間等有改變, 所以不能給直接搜索出此文件。而關鍵詞搜索又會反饋大量數據而大大增加工作量。但使用了模糊哈希我們就可以最直觀的找到與模版相似的所有文件。

問: 如何使用模糊哈希?                    
答:單獨類似文件搜索:
1.首先需要在預處理或后續處理(附件分析)中點選“模糊散列(F)”, 并進行處理
2.選擇工具→模糊散列(搜索類似文件)
3.選則“選擇要比較的文件”, 并確認需要比較的文件.
4.調節“最小匹配相似度”處, 1到100, 100為完全相同
5.選中需要比較的證據項, 并點選下方“搜索”
就可以得到所有具有相似度的文件(順序從最相似到最不相似)。         

多個類似文件模糊哈??饉閹?
1.配置哈??? 在已打開的案件中選擇管理 ? 模糊哈???? 管理庫…
選擇左下方“新建”選項,新建一個模糊哈希組,可以根據需求自主調節匹配條件。請注意默認匹配狀態為“忽略”, 如果要找特定文件則需要改為“警報” 如圖所示:  ,完成后點擊確定保存,此時在左側散列組中可以看到剛剛創建好的新組。
然后點選右下角“新建”, 在彈出的對話框中點選“從文件”后選擇需要對比的文件模版。FTK會自動計算出散列屬性(上方描述即名稱可以隨意修改, 但請勿修改散列值)。 最后在“散列組”中選擇剛剛創建的組名并選擇確定即可。 同時也可以手動輸入描述和散列值。
同樣操作可添加更多的文件到相同或不同的哈??庵?。
2.選擇證據 ? 附加分析…
FTK會自動運行, 并進行比較。當處理完成后, 我們就可以在瀏覽欄中文件列表中看到下述表頭
 
在此表頭隨意位置上點擊鼠標右鍵, 可以進行“列設置”, 點開“所有功能”并找到“模糊散列庫得分”, 選中此項并添加到右側欄中,確定保存后就可以在文件列表中查看模糊哈希相似度得分了(分值越高相似度越高)。
3.也可以根據散列組中的設置(忽略或警報), 新建特定過濾器, 如下圖所示,過濾后就可以得到所有符合模糊哈希值得文件。                        返回頁首