Virtual Forensic Computing by MD5
VFC wurde erstmals 2007 der it-forensischen Gemeinschaft vorgestellt. Es ermöglicht die einfache Erstellung einer virtuellen Maschine eines Ziel-Systems, was einem Ermittler ermöglicht, den „digitale Tatort“ nachzustellen und damit zu interagieren als ob er vor dem betreffenden PC sitzt.
Unter Verwendung anerkannter it-forensischer Verfahren untersucht VFC das Ziellaufwerk, um relevante Systeminformationen zu sammeln, damit es sehr schnell das VMware-Framework aufbauen kann, um eine forensisch sichere Kopie des Ziel-Systems (des Exponats) als virtuelle Maschine (VM) zu erstellen. Dieser Prozess wird von der VFC-Software automatisiert, um BSOD- und Treiberfehler zu vermeiden und dem Benutzer stundenlange manuelle Diagnose und Reparatur zu ersparen.
Warum VFC ?
Hier nur einige wichtige Möglichkeiten eine digitalen Auswertung mit VFC:
- Windows Passwörter umgehen und Windows Live-Konten in lokale Konten konvertieren
- Eine VM erstellen und in Sekunden hochfahren
- Eine eigenständige digitale gerichtsverwertbare Kopie erstellen ( Keinerlei Daten werden auf dem zu untersuchenden PC verändert )
- Betroffenes PC-System auf Schädlinge untersuchen ( Trojaner, Malware, Spyware, etc. )
- VFC von einem Boot-Stick starten um ein it-forensisches Abbild ( E01, DD, RAW, VHD, VHDx, etc. ) zu erstellen wobei das Windows-Passwort umgangen wird
…und noch vieles mehr !
VFC ermöglicht die Virtualisierung von Windows, Linux, Solaris und anderen Betriebssystemplattformen.
Die VFC-VM ermöglicht es dem Benutzer, sich auf dem Desktop des Verdächtigen zu bewegen, als ob er seinen Computer buchstäblich eingeschaltet hätte. Dies kann durch die Arbeit mit forensischen Abbildern ( Images ) unter Verwendung des integrierten Montagewerkzeugs VFC Mount™ oder direkt von einer schreibgeschützten Festplatte aus erfolgen. Aufgrund seiner Einfachheit ermöglicht es VFC it-forensischen und nicht-itforensischen Fachleuten, Computer gerichtsfest zu untersuchen und das nicht innerhalb von Stunden sondern von Minuten!
VFC kann auch dazu verwendet werden, einem Ermittler bei der Orientierung in Bezug auf belastende sowie entlastende Daten zu helfen. Es ermöglicht einem Ermittler, den Desktop eines Verdächtigen in einem Format darzustellen, das von jedem verstanden wird. Dies kann entweder live vor Gericht durchgeführt werden, indem ein tragbarer eigenständiger Klon der virtuellen Maschine verwendet wird, oder als Standbilder für Berichte erfasst werden. Dies kann in Fällen von großem Nutzen sein, in denen auch eine nicht-technische Person wie ein Richter, ein Schöffe oder ein Anwalt die Daten verstehen und erkennen kann.
Ein weiteres sehr wichtiges Merkmal, das Ermittler in Betracht ziehen sollten, ist die „Restore Point Forensics / Patch VM“. Dies ermöglicht es einem Ermittler, einen PC auf einen früheren Zustand „zurückzusetzen“, um Verknüpfungen zu erkennen, die in einer früheren Version der Maschine auf dem PC gespeichert wurden, wie beispielsweise Links zu Websites zweifelhafter oder krimineller Aktivitäten, die seitdem entfernt wurden.
Quelle & weitere Informationen unter:
MD5 Produkte sind auch direkt in unserem Online Shop erhältlich:
