前言
证据分析类软件很多,涉及的知识面也很广。这里仅针对火眼证据分析软件的分析结果存储形式,进行简单的了解。
该软件界面开发框架是Electron,存储以SQLite数据库为主。分析模块以插件形式提供,主要由Go和Python开发为主,同时使用了很多C/C++的开源代码,以及一些Java类库。
一、流程使用
1、新建案例
1.1. 案例目录
| 文件名 | 描述 |
|---|---|
| cacheV4 | 全文索引数据库,使用的引擎不是SOLR或sqlite3_fts,具体是啥暂时未知 |
| data | 存放了所有分析结果 |
| res | 存放临时文件 |
| *.gec | SQLITE3数据库文件,存放了案例基本信息 |
| lock | 锁,防止同一案例被多次打开 |
1.2. data文件夹
其中 data 文件夹下存放了所有的分析结果数据库,文件夹内文件列表如下(其命名格式为:evidence_eid_infoname):
1.3. gec文件
案例名称.gec文件是一个sqlite3明文数据库,记录了界面上填写的所有字段信息,表结构如下:
1.4. 案例管理
所有案例统一在首页进行管理,案例列表位置:C:\Users\用户名\AppData\Roaming\GoldenEyes\master.db
2、添加检材
当前页面也会存储到案例名称.gec文件中,对应表结构如下:
3、开始分析
任务进度同样存储在案例名称.gec文件中,对应表结构如下:
4、查看结果
左侧树存储于案例名称.gec文件的tree_node表中。
右侧列表存储于data\evidence_检材ID号_file文件中。
其中tree_node表结构如下:
二、即时通讯类软件的数据库
1、数据库文件
每个数据库文件中,都有且仅有一张与文件名相同的表。如下所示:
| 表名 | 描述 |
|---|---|
| evidence_检材ID号_imuserinfo | 用户列表 |
| evidence_检材ID号_troopgroupinfo | 群组列表 |
| evidence_检材ID号_immsginfo | 消息列表 |
| evidence_检材ID号_imfavinfo | 收藏列表 |
1.1. 用户列表(imuserinfo)
一张大表,包含了所有即时通讯类软件的用户个人信息字段。如下:
注意:用户列表中,也存放了部分群信息。
1.2. 群列表(troopgroupinfo)
一张大表,包含了所有即时通讯类软件的群组信息字段。如下:
1.3. 消息列表(immsginfo)
一张大表,包含了所有即时通讯类软件的消息所需字段,如下:
三、邮件类软件的数据库
1、数据库文件
共1张表,存储在文件data\evidence_检材ID号_mail数据库文件中。表结构如下:
