kv-md5

MD5

logo du vfc

Informatique légale virtuelle par MD5

VFC a été présenté pour la première fois en 2007 à la communauté de l'informatique légale. Il permet de créer facilement une machine virtuelle d'un système cible, ce qui permet à un enquêteur de recréer la "scène de crime numérique" et d'interagir avec elle comme s'il était assis devant le PC en question.

En utilisant des méthodes reconnues d'investigation informatique, VFC examine le disque cible pour collecter des informations système pertinentes afin de pouvoir construire très rapidement la structure VMware pour créer une copie légalement sécurisée du système cible (l'exposant) en tant que machine virtuelle (VM). Ce processus est automatisé par le logiciel VFC afin d'éviter les erreurs BSOD et de pilote et d'épargner à l'utilisateur des heures de diagnostic et de réparation manuels.

VFC permet la virtualisation de Windows, Linux, Solaris et d'autres plates-formes de systèmes d'exploitation.

VFC-VM permet à l'utilisateur de se déplacer sur le bureau du suspect comme s'il avait littéralement allumé son ordinateur. Cela peut se faire en travaillant avec des images forensiques ( Images ) en utilisant l'outil de montage intégré VFC Mount™ ou directement à partir d'un disque dur en lecture seule. Grâce à sa simplicité, VFC permet aux professionnels de l'informatique légale et non légale d'examiner des ordinateurs à des fins judiciaires, et ce non pas en quelques heures mais en quelques minutes !

VFC peut également être utilisé pour aider un enquêteur à s'orienter par rapport aux données à charge et à décharge. Il permet à un enquêteur de représenter le bureau d'un suspect dans un format compréhensible par tous. Cela peut être fait en direct au tribunal, en utilisant un clone autonome portable de la machine virtuelle, ou être capturé sous forme d'images fixes pour les rapports. Cela peut être très utile dans les cas où une personne non technique, comme un juge, un échevin ou un avocat, peut comprendre et reconnaître les données.

Une autre caractéristique très importante que les enquêteurs devraient prendre en considération est la "Restore Point Forensics / Patch VM". Cela permet à un enquêteur de "restaurer" un PC à un état antérieur afin de détecter des liens qui ont été stockés sur le PC dans une version antérieure de la machine, comme des liens vers des sites d'activités douteuses ou criminelles qui ont été supprimés depuis.

Pourquoi le VFC ?

Voici quelques possibilités importantes d'évaluation numérique avec VFC :

Contourner les mots de passe Windows et convertir les comptes Windows Live en comptes locaux

Créer une VM et la démarrer en quelques secondes

Créer une copie numérique autonome utilisable par un tribunal ( aucune donnée n'est modifiée sur le PC à examiner )

Analyser le système PC concerné à la recherche de parasites ( chevaux de Troie, logiciels malveillants, logiciels espions, etc. )

Démarrer VFC à partir d'une clé de démarrage pour créer une image informatique (E01, DD, RAW, VHD, VHDx, etc.) en contournant le mot de passe Windows.

...et bien plus encore !
Source & informations complémentaires sous :