首页技术服务知识库常见问题

FTK综合分析软件常见问题解答(二)

2012-12-24

        近期,瑞源公司陆续收到用户关于FTK操作技巧的问题,在此特由具有ACE认证的工程师进行解答。更多问题,欢迎发至 support.list@ecryan.com.cn

FTK V4.1的新功能视频抽帧如何使用?
目前使用的FTK为Oracle数据库, 需要升级到PostgreSQL数据库,如何将案件正常挂载到PostgreSQL数据库中?
如何配置小型分布式处理服务?
什么是模糊哈希(Fuzzy Hash)?
如何使用模糊哈希?

问: FTK V4.1的新功能视频抽帧如何使用?
: 在FTK V4.1中新增视频栏, 可以对视频进行一定的分析操作。
视频抽帧和视频格式转换
选择“创建视频缩略图”, 用户可以根据自己需求按照两种方式:比例(百分之几一帧)和间隔(多长时间一帧)来进行抽帧(截图)操。可以在检材初次处理的时候进行选择,也可以再附加分析时进行选择,如下图所示

同时用户也可以选择“创建常用视频文件”,将不同格式的视频文件转换成Windows Media Player支持的视频文件(文件将储存在案件文件夹中)。如下图所示
 

问: 目前使用的FTK是Oracle数据库, 需要升级到PostgreSQL数据库,如何将案件正常挂载到PostgreSQL数据库中?    
答: 选择需要转移的案件(如果需要多选,请按住Ctrl键并点击多个案件),然后选择菜单栏上的案件→备份→备份, 将需要转移的案件备份至一个新建文件夹中(此时可以删除案件节省空间)。
安装PostgreSQL数据库(最好先卸载Oracle)和FTK软件, 打开FTK, 选择菜单栏上的案件 →恢复→恢复, 选择刚刚备份的文件夹后选择确定导入。FTK将会自动将备份的案件导入新的数据库中。                                                                                                        

问: 如何配置小型分布式处理服务?                                                                                                               返回页首
答: FTK具有配置小型分布式处理服务的功能,可以在局域网(同网段)中挂载最多3个分布式处理器。请先确认需要安装位分布式处理设备的主机并确认IP地址(必须为固定IP地址,即手动设定),然后分别在作为分布式处理引擎的主机上安装且仅安装FTK Processing Engine, 同时在安装时选择安装为Distributed Processing Engine。此时在FTK操作主机中尝试PING一下各分布式引擎, 如果均可PING通就可以打开FTK进行配置。
在FTK的主界面上选择菜单栏上的工具→正在处理引擎配置
如下图所示(图中使用样例IP,请根据实际情况设置)。注意: 如使用默认端口, 请确认此端口打开, 并不被防火墙阻隔。
 
 配置完成后, 如分布式处理引擎均在启用状态, FTK将会在实际工作中自动根据工作量分配工作使用分布式引擎, 同时请注意, 对于小型检材分布式引擎不会启用。当处理大型检材时(一般来说500G硬盘, 且包含40/50万个单独文件就算做中型检材), 分布式处理功能就会自动启用。无直接途径可以查看分布式引擎工作与否, 但可在处理日志中查看。

问:什么是模糊哈希(Fuzzy Hash)?
答:哈希是每个文件单独具有的数字签名, 对于不同的文件是完全不同的, 哪怕在文件中仅仅改变一个空格, 整个文件的哈希值就会产生巨大的变化。同时, 在实际操作中, 我们经常会遇到查找某些特定文件的情况, 但两个文件虽然内容大致相同却并非完全一样(可能其文字内容/格式有一定变化, 内置图片或附件有一定变化)。此时KFF或直接使用哈希查找的方法就不可使用了。但FTK具有模糊哈希功能,此功能将根据目标文件内容搜索出类似文件。
如在实际案例中, 我们需要搜索一个邪教组织文件, 一般来说此类文件都有固定模版, 但其中内容会根据地区, 时间, 对象的不同进行修改。如果直接使用哈希值搜索由于文件的格式,内容,文件名,创建时间等有改变, 所以不能给直接搜索出此文件。而关键词搜索又会反馈大量数据而大大增加工作量。但使用了模糊哈希我们就可以最直观的找到与模版相似的所有文件。

问: 如何使用模糊哈希?                    
答:单独类似文件搜索:
1.首先需要在预处理或后续处理(附件分析)中点选“模糊散列(F)”, 并进行处理
2.选择工具→模糊散列(搜索类似文件)
3.选则“选择要比较的文件”, 并确认需要比较的文件.
4.调节“最小匹配相似度”处, 1到100, 100为完全相同
5.选中需要比较的证据项, 并点选下方“搜索”
就可以得到所有具有相似度的文件(顺序从最相似到最不相似)。         

多个类似文件模糊哈希库搜索:
1.配置哈希库: 在已打开的案件中选择管理  模糊哈希库  管理库…
选择左下方“新建”选项,新建一个模糊哈希组,可以根据需求自主调节匹配条件。请注意默认匹配状态为“忽略”, 如果要找特定文件则需要改为“警报” 如图所示:  ,完成后点击确定保存,此时在左侧散列组中可以看到刚刚创建好的新组。
然后点选右下角“新建”, 在弹出的对话框中点选“从文件”后选择需要对比的文件模版。FTK会自动计算出散列属性(上方描述即名称可以随意修改, 但请勿修改散列值)。 最后在“散列组”中选择刚刚创建的组名并选择确定即可。 同时也可以手动输入描述和散列值。
同样操作可添加更多的文件到相同或不同的哈希库中。
2.选择证据  附加分析…
FTK会自动运行, 并进行比较。当处理完成后, 我们就可以在浏览栏中文件列表中看到下述表头
 
在此表头随意位置上点击鼠标右键, 可以进行“列设置”, 点开“所有功能”并找到“模糊散列库得分”, 选中此项并添加到右侧栏中,确定保存后就可以在文件列表中查看模糊哈希相似度得分了(分值越高相似度越高)。
3.也可以根据散列组中的设置(忽略或警报), 新建特定过滤器, 如下图所示,过滤后就可以得到所有符合模糊哈希值得文件。                        返回页首