F-Response-改變傳統的Live取證工具


最近結識了F-Response的作者Matthew Shannon,並與幾個組員一起測試了F-Response這個軟件後,發現Matthew先生研製的這款新工具的確有獨到之處。看了幾名國外著名專家的博客,都對這個軟件有高度的評價。

簡單來說,這個軟件是一個在線取證工具的一個突破,他讓過去遙不可及的Encase Enterprise企業版(還對中國禁銷,沒道理)具備的功能,成為了任何一個法證工具軟件都可以實現的功能。而且實現的價格還極為低廉。

現 在,X-Ways Forensics已經與F-response結合了,Smart也與F-response結合了,連蘋果機下,都可以與MacForensicsLab 結合。這樣一來,面對Windows, MacOS, Linux三種操作系統,只要具有F-Response單機版,都可以成功實現在線取證。

說到在線取證,還要說說F-Response與目前常見的在線取證工具的區別。

所 謂在線取證,就是在計算機處於開機狀態下的取證方法。一般這種狀態下,為了保證證據的完整性,應該儘量避免去運行額外的程序,以免使操作系統下註冊表、內 存、臨時文件中的數據發生更改。但近年來,由於在線取證日趨重要,很多時候無法向早年國外專家所講的一樣,拔掉計算機電源,然後實施硬盤完整鏡像。一旦關 機往往會失去很多重要的內存數據、加密分區數據。因此,現在很多人都在重點研究在線取證工具。

目前常見的在線取證工具,都是在嫌疑人的計 算機中直接運行取證軟件,並自動獲取內存、註冊表中的數據。同時也可以通過取證軟件,實現對硬盤的完整鏡像。但此種方法缺點在於可能造成內存中、硬盤中過 多的信息被覆蓋,影響取證效果。通過,在運行的系統下獲取鏡像,將有可能造成系統死機,破壞證據的完整性。

F-Response 的方式,是通過網絡連接兩台計算機或局域網內的更多計算機,將任意一台計算機的硬盤或其他存儲介質,以物理磁盤的方式顯示到調查員計算機中,在調查員計算 機中直接運行任意分析工具或鏡像工具,實現對嫌疑硬盤數據的完整獲取。這種方法是最為理想的,而且僅在嫌疑計算機中佔用極少的內存,不會造成死機等問題。

F-Response絕對將是2009年中國計算機法證領域中的一個亮點。大家可以訪問http://www.f-response.com/ 去瞭解更多的情況。

轉自計算機取證技術

0 意見: