遠くからなんか声が聞こえたようなので．．ちょっと手抜き気味ですがいじってみました。今回の大きな変更点としてパーティションだけでなくドライブごと調査ができるようになった。ということで早速C:NTFS＋D:FAT32としたディスクイメージを作成してみる。いつも通りに進んでくるとイメージの追加のところでDiskかPartitionの選択がある。

Diskを選択して進むとイメージから、自動的にファイルタイプやマウントポイントを判別される。

さてADDとすると

Testing partitions
Linking image(s) into evidence locker
Image file added with ID img1
Missing Volume System Type

となんかエラー吐いて終了orz　今まで通りのパーティションイメージであれば問題なく使えました。現状ここまで。

あと、いじってみて気づいたところ。Investigator（捜査者）の指定が必須になったみたい。前は手抜きで省略してもよかったけど、今回から記述をせずにCaseを追加すると途中で手詰まる。指定せずに進むとCase追加→Host追加と来てInvestigator選択が要求されすすめなくなる。戻りボタンも無い．．．ブラウザでバックして修正してもすでにEvidenceディレクトリにデータが作成されているため、変更できず．．．バグとして報告されていましたorz　次期バージョンでも改善されるみたい。

• Autopsy Add Host Bug(sleuthkit-users)