Quali strumenti usi per raccogliere prove, creare immagini disco, ispezionare la memoria live e così via?
La maggior parte del mio lavoro di medicina legale viene eseguita dopo il fatto in un ambiente di laboratorio, quindi per il momento in cui sono coinvolto il lavoro on-line è troppo tardi, cioè nessuna analisi della memoria.
Storicamente vorrei usare
Recentemente ho iniziato a spostarmi da quella combinazione e a
In entrambi i casi le acquisizioni vengono eseguite utilizzando qualsiasi write-blocker appropriato, la maggior parte di quelli che uso sono creati da Tableau . Una delle ragioni per cui sono passato all'autopsia è il supporto per i database hash, come NSRL . Un altro è che è gratuito. EnCase è un ottimo strumento, ma costoso.
Dai un'occhiata a bulk_extractor , un programma che trova automaticamente indirizzi email, numeri di carte di credito e altre informazioni dalle immagini del disco. Produce quindi un istogramma che consente di identificare l'uso principale del disco rigido e i contatti primari di quella persona. Cerca anche nei file compressi.
Non ho visto FTK dai dati di accesso menzionati. Alcuni anni fa ho utilizzato sia Encase che FTK, entrambi hanno i loro vantaggi e svantaggi, ma è un altro strumento di analisi forense supportato commercialmente e giudiziario.
Sono parziale a scrivere blockers da weibetech, ma non ho molta esperienza con altri venditori. Potresti consultare la verifica NIST per i bloccanti di scrittura . Ci sono anche rapporti di verifica su software / hardware aggiuntivi da test di strumenti forensi NIST come quel sito web.
Ho sempre usato EnCase e Coroner's Toolkit (questo giorno è il Sleuthkit ) insieme a dd. Per essere onesti ora i LiveCD di Helix e BackTrack sono praticamente lì per la scientifica forense, internamente all'interno di un'organizzazione, o se non hai intenzione di coinvolgere forze dell'ordine o tribunali.
Il problema che avrai verrà se devi presentarti in tribunale.
A quel punto, a seconda della tua giurisdizione, EnCase vince a mani basse - semplicemente perché le forze di polizia tendono a saperlo e quindi possono garantirlo in tribunale. Se non puoi ottenere l'approvazione per il tuo kit di strumenti preferito, vai con EnCase.