kv-md5

MD5

vfc-logo

Virtual Forensic Computing by MD5

VFC wurde erstmals 2007 der it-forensischen Gemeinschaft vorgestellt. Es ermöglicht die einfache Erstellung einer virtuellen Maschine eines Ziel-Systems, was einem Ermittler ermöglicht, den „digitale Tatort“ nachzustellen und damit zu interagieren als ob er vor dem betreffenden PC sitzt.

Koristeći priznate IT forenzičke tehnike, VFC ispituje ciljni pogon za prikupljanje relevantnih informacija o sustavu tako da može vrlo brzo izgraditi okvir VMware za stvaranje forenzički sigurne kopije ciljnog sustava (izložak) kao virtualni stroj (VM). Ovaj proces je automatiziran pomoću VFC softvera kako bi se spriječile BSOD i pogreške upravljačkog programa te korisnik uštedio sate ručne dijagnoze i popravka.

VFC ermöglicht die Virtualisierung von Windows, Linux, Solaris und anderen Betriebssystemplattformen.

Die VFC-VM ermöglicht es dem Benutzer, sich auf dem Desktop des Verdächtigen zu bewegen, als ob er seinen Computer buchstäblich eingeschaltet hätte. Dies kann durch die Arbeit mit forensischen Abbildern ( Images ) unter Verwendung des integrierten Montagewerkzeugs VFC Mount™ oder direkt von einer schreibgeschützten Festplatte aus erfolgen. Aufgrund seiner Einfachheit ermöglicht es VFC it-forensischen und nicht-itforensischen Fachleuten, Computer gerichtsfest zu untersuchen und das nicht innerhalb von Stunden sondern von Minuten!

VFC kann auch dazu verwendet werden, einem Ermittler bei der Orientierung in Bezug auf belastende sowie entlastende Daten zu helfen. Es ermöglicht einem Ermittler, den Desktop eines Verdächtigen in einem Format darzustellen, das von jedem verstanden wird. Dies kann entweder live vor Gericht durchgeführt werden, indem ein tragbarer eigenständiger Klon der virtuellen Maschine verwendet wird, oder als Standbilder für Berichte erfasst werden. Dies kann in Fällen von großem Nutzen sein, in denen auch eine nicht-technische Person wie ein Richter, ein Schöffe oder ein Anwalt die Daten verstehen und erkennen kann.

Ein weiteres sehr wichtiges Merkmal, das Ermittler in Betracht ziehen sollten, ist die „Restore Point Forensics / Patch VM“. Dies ermöglicht es einem Ermittler, einen PC auf einen früheren Zustand „zurückzusetzen“, um Verknüpfungen zu erkennen, die in einer früheren Version der Maschine auf dem PC gespeichert wurden, wie beispielsweise Links zu Websites zweifelhafter oder krimineller Aktivitäten, die seitdem entfernt wurden.

Warum VFC ?

Hier nur einige wichtige Möglichkeiten eine digitalen Auswertung mit VFC:

Windows Passwörter umgehen und Windows Live-Konten in lokale Konten konvertieren

Eine VM erstellen und in Sekunden hochfahren

Eine eigenständige digitale gerichtsverwertbare Kopie erstellen ( Keinerlei Daten werden auf dem zu untersuchenden PC verändert )

Betroffenes PC-System auf Schädlinge untersuchen ( Trojaner, Malware, Spyware, etc. )

VFC von einem Boot-Stick starten um ein it-forensisches Abbild ( E01, DD, RAW, VHD, VHDx, etc. ) zu erstellen wobei das Windows-Passwort umgangen wird

…und noch vieles mehr !
Izvor i dodatne informacije na:
MD5