ForensicSoft公司 (http://www.forensicsoft.com) 近日發佈了 SAFE 法證證啟動光盤,據其稱是世界上第一個基於Windows的具有寫保護功能的啟動光盤。正式版本將於2009年3月份開始發售,現在可以下載並測試BETA版 SAFE 啟動光盤,下載地址:http://www.forensicsoft.com.
SAFE 啟動光盤可以啟動所有基於Intel架構的計算機,並從物理層上對所有內置硬盤實施寫保護。啟動光盤的功能不僅僅是防止自動加載硬盤,或以只讀模式加載硬 盤,而是具備像Helix或其他Linux "法證" 啟動光盤一樣的功能。用戶可以通過一鍵操作,即可啟動或取消寫保護功能。
SAFE 基於正版Windows (Windows PE 2.0),可以運行各種您常用的 Windows 取證工具,如FTK, EnCase, X-Ways,FinalForensics等等。可以對各種RAID 服務器、筆記本計算機、工作站硬盤進行磁盤鏡像,速度可達4GB/分鐘。想像一下,您將不再因為缺少RAID控制器的驅動而無法獲取RAID陣列數據,也 可以直接將數據直接獲取至 NTFS 或壓縮格式 NTFS分區中,不再因必須將數據寫入FAT32、EXT2 或其他 Linux 文件系統而煩惱。
Windows 驅動程序 The most common problem with 基於Linux系統的啟動光盤的最常見的問題,就是通常不包括RAID陣列和其他磁盤控制器的驅動。有時即便有了驅動程序,很多非LINUX用戶也很難自 行將驅動程序添加到自己的Linux啟動光盤中。現在,Windows驅動已經基本包含了所有 Intel架構的 RAID 和磁盤控制器。SAFE 可以加載所有已有的 Windows 驅動,並可以在需要的時候通過很簡單的方法安裝其他的 Windows 驅動。.
支持NTFS 文件系統 DOS 或 Linux OS 啟動光盤都無法將鏡像文件寫入採用NTFS文件系統的硬盤,因此調查員不得不將磁盤鏡像寫入FAT32分區中。利用SAFE,調查員可以可充分利用大容量 NTFS分區和大文件的優勢。同時利用NTFS分區,SAFE 還可以節省調查員的大量時間和精力。
SAFE 寫保護技術 具有防止軟件寫操作的SAFE Block XP已經內置在 SAFE 啟動光盤中。這意味著在利用SAFE啟動光盤啟動計算機的過程中,所有與該計算機連接的磁盤、閃存都被自動實施寫保護。而且,這是一種真正的寫保護措施, 而不是像其他Linux啟動光盤採用的邏輯只讀或防止磁盤自動加載方式。
啟動後,如果調查員希望將證據文件鏡像寫入至一個磁盤,可以簡單地解除所需磁盤的寫保護,但同時可保證其他磁盤繼續處於寫保護狀態中。如果調查員只是需要預覽或進行關鍵詞搜索,那麼您無序改變任何選項,啟動後所有存儲介質都將一直處於寫保護狀態中。
使用熟悉的Windows法證工具 很多法證調查員不得不使用Linux 啟動光盤來完成一些法證需要,而且不得不使用 DD、 DCFLDD、 MD5SUM、 SHA1SUM 和很多其他不熟悉、不喜歡的 Linux 工具。現在利用 SAFE 啟動光盤,調查員可以使用他們在 Windows 環境中喜愛的各種法證工具。
案件日誌. SAFE 內置了日誌功能,可以創建調查員的工作日誌,包含系統屬性和所執行的各種操作步驟。
內置工具. SAFE的 Windows環境中已經內置了一些工具,可以用於瀏覽、查看、預覽,同時包含一些簡單的法證功能。
轉自計算機取證技術
0 意見: