F-response TACTICAL 簡介

F-Response 是一個在線取證工具,可以用於通過局域網絡獲取在線狀態下的數據,不會使原始數據發生改變。最近,F-Response最新發佈了TACTICAL版本。

同以往的版本不同,F-response最新發佈的TACTICAL 帶有兩個軟件狗。這些狗都是成對提供的。每個狗上都清晰地標記著"調查員專用 Examiner"和「嫌疑機專用 Subject」,以便區分在不同的計算機上插入。


當進行調查時,需要將「嫌疑機專用」狗插入需要檢查的計算機usb接口中。「調查員專用」狗需要插入調查員使用的分析計算機中。嫌疑機專用狗目前可以在Windows (包括Windows 7), OS X, 和 Linux系統下運行。調查員專用狗僅支持Windows系統。.

軟件

對嫌疑計算機的處理與原來的FK版本有些相似。

FK版本需要在嫌疑計算機中插入軟件狗,查找該機的IP地址,並在聯網的調查員計算機中輸入得到的IP地址,同時輸入用戶名和口令以繼續連接。

而使用TACTICAL,可以將「嫌疑機專用」狗插入局域網中的任何一台需要調查的計算機中,運行軟件。

軟件會通過網絡發送一個"信號", 當你在調查員計算機中插入「調查員專用」狗,運行軟件,點擊「自動連接」,調查員計算機會自動發現「信號」並與「嫌疑計算機」自動連接。無需輸入用戶名和密碼進行校驗。

當嫌疑計算機與調查員計算機之間的連接被成功建立,調查員可以看到嫌疑計算機中所包含的存儲設備列表。這包括內置硬盤、RAID陣列,外接的usb存儲設備等。

F-Response 嫌疑機專用狗也同時被列在存儲設備列表中。這可以防止在調查中因疏忽造成差錯。需要連接或加載磁盤/卷,用戶僅需右鍵點擊相應的磁盤選擇Login to F-Response Disk即可。

連接成功後,調查員可以隨意使用各自熟悉使用的工具進行分析。筆者測試了 X-Ways, EnCase, FTK Imager等工具, 每種工具都能夠象分析本地硬盤一樣地分析遠程嫌疑計算機中的硬盤。

這個版本的推出,使在線取證變得更加簡單了。過去的FK版本使用相對比較繁瑣,需要連接、設置,並輸入用戶名、口令用於驗證。現在,僅需插入軟件狗,分別運行客戶端、服務端軟件,即可成功加載遠程存儲設備,非常簡便。

轉自計算機取證

0 意見: