kv-md5

MD5

vfc-logo

Virtueel forensisch computergebruik door MD5

VFC werd in 2007 voor het eerst geïntroduceerd in de forensische gemeenschap. Het maakt het mogelijk om eenvoudig een virtuele machine van een doelsysteem te maken, waardoor een onderzoeker de "digitale plaats delict" kan reconstrueren en ermee kan interageren alsof hij voor de pc in kwestie zit.

Met behulp van erkende it-forensische technieken onderzoekt VFC de doelschijf om relevante systeeminformatie te verzamelen, zodat het zeer snel het VMware-framework kan bouwen om een forensisch veilige kopie van het doelsysteem (exhibit) te maken als een virtuele machine (VM). Dit proces wordt geautomatiseerd door de VFC-software om BSOD- en driverfouten te voorkomen en de gebruiker uren aan handmatige diagnose en reparatie te besparen.

VFC maakt virtualisatie mogelijk van Windows, Linux, Solaris en andere besturingssystemen.

Met de VFC VM kan de gebruiker zich verplaatsen op het bureaublad van de verdachte alsof deze letterlijk zijn computer heeft aangezet. Dit kan worden gedaan door te werken met forensische afbeeldingen met behulp van de geïntegreerde montagetool VFC Mount™ of rechtstreeks vanaf een alleen-lezen harde schijf. Door zijn eenvoud stelt VFC it-forensische en niet-it-forensische professionals in staat om computers op een forensische manier te onderzoeken, niet in uren maar in minuten!

VFC kan ook worden gebruikt om een onderzoeker te helpen bij het navigeren door belastende en ontlastende gegevens. Het stelt een onderzoeker in staat om de desktop van een verdachte te visualiseren in een formaat dat door iedereen begrepen kan worden. Dit kan live worden gedaan in de rechtszaal, met behulp van een draagbare standalone kloon van de virtuele machine, of worden vastgelegd als stilstaande beelden voor rapporten. Dit kan van groot voordeel zijn in zaken waar een niet-technisch persoon zoals een rechter, lekenbeoordelaar of advocaat de gegevens kan begrijpen en herkennen.

Een andere zeer belangrijke functie die onderzoekers zouden moeten overwegen is de "Restore Point Forensics / Patch VM". Hiermee kan een onderzoeker een pc "terugzetten" naar een eerdere staat om koppelingen te detecteren die in een eerdere versie van de machine op de pc waren opgeslagen, zoals koppelingen naar websites met dubieuze of criminele activiteiten die sindsdien zijn verwijderd.

Waarom VFC?

Hier volgen enkele belangrijke opties voor digitale evaluatie met VFC:

Windows-wachtwoorden omzeilen en Windows Live-accounts omzetten naar lokale accounts

Een VM maken en opstarten in seconden

Een onafhankelijke digitale kopie maken die in de rechtszaal kan worden gebruikt (er worden geen gegevens gewijzigd op de pc die moet worden geanalyseerd)

Het aangetaste pc-systeem scannen op malware (Trojaanse paarden, malware, spyware, enz.)

Start VFC vanaf een bootstick om een it-forensisch image te maken (E01, DD, RAW, VHD, VHDx, etc.) om het Windows-wachtwoord te omzeilen.

...en nog veel meer!
Bron & verdere informatie op:
MD5