Open-Source Computer Forensics Verktøy

Open-Source Computer Forensics Verktøy


Open-source dataetterforskning verktøy er ofte å foretrekke fremfor kommersielle alternativer fordi deres metoder er bedre dokumentert og resultatene lettere dupliseres. Dette er fordi åpen kildekode-programmer gir brukere tilgang til den originale kildekoden og programmerer kommentarer. Når dataetterforskning bevis blir brukt i retten, er det best om de verktøyene som brukes i sin oppdagelse kan undersøkes og forklarte til retten. Lukket kildekode alternativer gir ikke denne muligheten nettopp fordi kildekoden er privat eiendom av kommersiell bedrift som selger programvare.

Forensic Acquisition Utilities

Open-Source Computer Forensics Verktøy

Forensics Anskaffelses Utilities bidra til å åpne opp en harddisk.

Snarere enn som inneholder et enkelt program, er Forensic Acquisition Utilities en samling av dataetterforskning verktøy som er buntet av George Garner. Disse programmene kan bistå dataetterforskning sensor i å samle bevis fra en datamaskin som kjører Windows-systemet. Pakken inneholder verktøy for å rense lagringsmedier for rettsmedisinske duplisering, finne og identifisere logiske volumer, og sikre dataintegritet med en kryptografisk sjekksum. Mens det spiller minimere endringer i det opprinnelige datasettet, denne pakken ikke forhindre alle endringer.

Testdisk

Open-Source Computer Forensics Verktøy

Testdisk bidrar til å gjenopprette slettet informasjon.

Testdisk er en lett-å-bruke, kraftig, open-source data recovery program. Den brukes til å gjenopprette data som er tapt på grunn av feil programvare, noen virus, og menneskelige inngrep enten tilsiktet eller utilsiktet. Ved hjelp av Testdisk, kan en dataetterforskning sensor gjenopprette data fra noen av de mest vanlige partisjoner. Disse partisjonene kan ha blitt skadet eller slettet ved en feil program eller virus. En annen mulighet er at skilleveggen kan ha blitt slettet av datamaskinen bruker, enten ved et uhell eller med vilje for å skjule bevis.

Live visning

Open-Source Computer Forensics Verktøy

Ved hjelp av Liveview plasserer dataetterforskning sensor høyre på tastaturet av den mistenkte systemet.

Ved hjelp av Testdisk vil gjenopprette tapte data, og Forensic Acquisition Utilities kan kopiere dataene på en annen disk, men dataetterforskning sensor vil trenge Liveview for å få tilgang til og analysere bevis. Liveview gir sensor å konvertere rå diskbilde til et format enn det som kan brukes av en VMware virtuell maskin. Den dataetterforskning sensor kan da "starte opp" bildet som om han sitter rett ved tastaturet på datamaskinen den ble tatt fra. Når dette er gjort, vil han være i stand til å se deg rundt i systemet og søke etter filer han trenger for å bygge sin sak.