火眼证据软件的结果存储

火眼证据分析官网

前言

证据分析类软件很多，涉及的知识面也很广。这里仅针对火眼证据分析软件的分析结果存储形式，进行简单的了解。

该软件界面开发框架是Electron，存储以SQLite数据库为主。分析模块以插件形式提供，主要由Go和Python开发为主，同时使用了很多C/C 的开源代码，以及一些Java类库。

一、流程使用

1、新建案例

1.1. 案例目录

文件名	描述
cacheV4	全文索引数据库，使用的引擎不是SOLR或sqlite3_fts，具体是啥暂时未知
data	存放了所有分析结果
res	存放临时文件
*.gec	SQLITE3数据库文件，存放了案例基本信息
lock	锁，防止同一案例被多次打开

1.2. data文件夹

其中 data 文件夹下存放了所有的分析结果数据库，文件夹内文件列表如下（其命名格式为：evidence_eid_infoname）：

1.3. gec文件

案例名称.gec文件是一个sqlite3明文数据库，记录了界面上填写的所有字段信息，表结构如下：

1.4. 案例管理

所有案例统一在首页进行管理，案例列表位置：C:\Users\用户名\AppData\Roaming\GoldenEyes\master.db

2、添加检材

当前页面也会存储到案例名称.gec文件中，对应表结构如下：

3、开始分析

任务进度同样存储在案例名称.gec文件中，对应表结构如下：

4、查看结果

左侧树存储于案例名称.gec文件的tree_node表中。
右侧列表存储于data\evidence_检材ID号_file文件中。
其中tree_node表结构如下：

二、即时通讯类软件的数据库

1、数据库文件

每个数据库文件中，都有且仅有一张与文件名相同的表。如下所示：

表名	描述
evidence_检材ID号_imuserinfo	用户列表
evidence_检材ID号_troopgroupinfo	群组列表
evidence_检材ID号_immsginfo	消息列表
evidence_检材ID号_imfavinfo	收藏列表

1.1. 用户列表（imuserinfo）

一张大表，包含了所有即时通讯类软件的用户个人信息字段。如下：

注意：用户列表中，也存放了部分群信息。

1.2. 群列表（troopgroupinfo）

一张大表，包含了所有即时通讯类软件的群组信息字段。如下：

1.3. 消息列表（immsginfo）

一张大表，包含了所有即时通讯类软件的消息所需字段，如下：

三、邮件类软件的数据库

1、数据库文件

共1张表，存储在文件data\evidence_检材ID号_mail数据库文件中。表结构如下：

这篇好文章是转载于：学新通技术网