kv-md5

MD5

logo vfc

Informatica forense virtuale con MD5

VFC è stato introdotto per la prima volta nella comunità informatica forense nel 2007. Consente la semplice creazione di una macchina virtuale di un sistema target, permettendo a un investigatore di ricreare la "scena del crimine digitale" e di interagire con essa come se fosse seduto di fronte al PC in questione.

Utilizzando tecniche it-forensi riconosciute, VFC esamina l'unità di destinazione per raccogliere informazioni rilevanti sul sistema in modo da poter creare molto rapidamente il framework VMware per creare una copia forense sicura del sistema di destinazione (exhibit) come macchina virtuale (VM). Questo processo è automatizzato dal software VFC per evitare BSOD ed errori di driver e risparmiare all'utente ore di diagnosi e riparazione manuale.

VFC consente la virtualizzazione di Windows, Linux, Solaris e altre piattaforme di sistema operativo.

VFC VM consente all'utente di muoversi sul desktop del sospetto come se avesse letteralmente acceso il computer. Questo può essere fatto lavorando con immagini forensi utilizzando lo strumento di montaggio integrato VFC Mount™ o direttamente da un disco rigido di sola lettura. Grazie alla sua semplicità, VFC consente ai professionisti dell'informatica forense e non, di esaminare i computer in modo forense, non in ore ma in minuti!

Il VFC può anche essere utilizzato per aiutare un investigatore a navigare tra i dati incriminanti e quelli a discarico. Consente agli investigatori di visualizzare il desktop di un sospettato in un formato comprensibile a chiunque. Questo può essere fatto dal vivo in tribunale, utilizzando un clone standalone portatile della macchina virtuale, o catturato come immagini fisse per i rapporti. Ciò può essere di grande utilità nei casi in cui una persona non tecnica, come un giudice, un perito laico o un avvocato, può comprendere e riconoscere i dati.

Un'altra funzione molto importante che gli investigatori dovrebbero prendere in considerazione è la "Forensics Restore Point / Patch VM". Questa funzione consente all'investigatore di "resettare" un PC a uno stato precedente per rilevare i collegamenti memorizzati sul PC in una versione precedente della macchina, come ad esempio i collegamenti a siti web di dubbia attività o criminali che nel frattempo sono stati rimossi.

Perché VFC?

Ecco alcune importanti opzioni per la valutazione digitale con VFC:

Bypassare le password di Windows e convertire gli account Windows Live in account locali

Creare una macchina virtuale e avviarla in pochi secondi

Creare una copia digitale indipendente che possa essere utilizzata in tribunale (nessun dato viene modificato sul PC da analizzare)

Eseguire una scansione del sistema del PC interessato alla ricerca di malware (trojan, malware, spyware, ecc.).

Avviare VFC da una chiavetta di avvio per creare un'immagine it-forense ( E01, DD, RAW, VHD, VHDx, ecc.) bypassando la password di Windows.

...e molto altro ancora!
Fonte e ulteriori informazioni su: