-
Open-Source Informática Forense Herramientas
-
De fuente abierta herramientas forenses a menudo se prefieren sobre las alternativas comerciales debido a que sus métodos son documentados mejor y los resultados más fácilmente duplicarse. Esto se debe a que los programas de código abierto proporcionan a los usuarios el acceso al código fuente y programador comentarios originales. Cuando se utiliza la informática forense prueba en los tribunales, lo mejor es que las herramientas utilizadas en su descubrimiento se pueden examinar y explicar al tribunal. las alternativas de código cerrado no proporcionan esta capacidad precisamente porque su código fuente es la propiedad privada de la empresa comercial que está vendiendo el software.Adquisición forense Utilidades
Adquisición de análisis forense Utilidades ayudar a abrir un disco duro.
En lugar de que contiene un solo programa, Forense Adquisición Utilities es una colección de herramientas forenses que han sido agrupados por George Garner. Estos programas pueden ayudar al examinador informática forense en la recogida de pruebas de un sistema informático Windows que se ejecuta. El paquete incluye herramientas para limpiar los medios de almacenamiento para la duplicación forense, localizar e identificar los volúmenes lógicos, y garantizar la integridad de los datos con una suma de comprobación criptográfica. Si bien no minimizar modificaciones en el conjunto de datos original, este paquete no impide que todos los cambios.
TestDisk
TestDisk ayuda a recuperar la información eliminada.
TestDisk es un programa fácil de usar, potente, de código abierto de recuperación de datos. Se utiliza para recuperar los datos perdidos debido a la falla de software, algunos virus, y la intervención humana, ya sea intencional o accidental. Usando TestDisk, un examinador de la informática forense puede recuperar datos de cualquiera de las particiones de disco más comunes. Estas particiones pueden haber sido dañado o eliminado por un programa defectuoso o un virus. Otra posibilidad es que las particiones pueden haber sido eliminados por el usuario de la computadora, ya sea accidental o intencionalmente para ocultar pruebas.
Vista en vivo
Utilizando LiveView coloca el examinador informática forense a la derecha en el teclado del sistema sospechoso.
Usando TestDisk recuperar los datos perdidos, y el forense Adquisición Utilidades puede copiar los datos en otro disco, pero la informática forense examinador tendrá LiveView para acceder y analizar la evidencia. LiveView permite al examinador para convertir la imagen de disco en bruto en un formato que puede ser utilizado por una máquina virtual de VMware. El examinador informática forense puede entonces "arrancar" la imagen como si estuviera sentado en el teclado de la computadora que fue tomado de. Una vez hecho esto, él será capaz de mirar todo el sistema y buscar los archivos que necesita para construir su caso.
