美国F-Response公司
F-Response在线网络取证工具
在企业内部调查中,如何对一台开机状态下的计算机进行完整的、物理方式的数据获取?如何对分别运行Mac OS, Linux,
Windows三种不同操作系统的计算机进行取证?如何对正在运行的服务器硬盘进行取证?如何对局域网内的任何一台计算机进行调查取证?F-Response 软件的出现,使所有这些需求成为了可能。F-Response可在调查员计算机和嫌疑计算机之间建立基于数据只读的安全连接,并将需要调查的计算机存储设备以物理硬盘的方式显示在分析计算机中。
所谓在线取证,就是在计算机处于开机状态下的取证方法。一般这种状态下,为了保证证据的完整性,应该尽量避免去运行额外的程序,以免使操作系统下注册表、 内存、临时文件中的数据发生更改。但近年来,由于在线取证日趋重要,很多时候无法向早年国外专家所讲的一样,拔掉计算机电源,然后实施硬盘完整镜像。一旦关机往往会失去很多重要的内存数据、加密分区数据。因此,现在很多调查员都十分关注在线取证工具。
目前常见的在线取证工具,都是在嫌疑人的计算机中直接运行取证软件,并自动获取内存、注册表中的数据。同时也可以通过取证软件,实现对硬盘的完整镜像。但此种方法缺点在于可能造成内存中、硬盘中过多的信息被覆盖,影响取证效果。通过,在运行的系统下获取镜像,将有可能造成系统死机,破坏证据的完整性。
F-Response
的方式,是通过网络连接两台计算机或局域网内的更多计算机,将任意一台计算机的硬盘或其他存储介质,以物理磁盘的方式显示到调查员计算机中,在调查员计算
机中直接运行任意分析工具或镜像工具,实现对嫌疑硬盘数据的完整获取。这种方法是最为理想的,而且仅在嫌疑计算机中占用极少的内存,不会造成死机等问题。
F-Response可以与X-Ways Forensics、Smart、MacForensicsLab、FinalForensics、Intella等软件全面配合,对Windows, MacOS, Linux三种操作系统都可成功实现
在线分析和取证。F-Response可以利用调查员计算机直接访问远程计算机中的磁盘,并可将物理硬盘显示在X-Ways Forensics软件当中,并完全以只读方式连接硬盘,不会造成远程计算机数据改动。
使用F-Response需要单独的软件锁。 目前该软件分三个版本:
FK法证版: 一次可以分析一台远程计算机,软件锁需要插在远程计算机上。FK版是一个非常超值的单用户版本。调查员可以通过自己携带的笔记本计算机,通过交叉网线连接嫌疑计算机,以只读方式读取嫌疑计算机的物理硬盘。为使客户避免频繁的升级,FK单机版将对中国用户推出特制版本,可一次连续使用三年,并随时享受三年内各种新增功能。
CE调查版:
利用一个软件锁可以同时分析多台计算机。CE版是为需要调查企业局域网内计算机证据的大型案件的需求而开发的。使用CE网络版,您利用一个软件锁,就可以同时访问并读取局域网内多台计算机的硬盘资料。CE网络版是为服务器、局域网、应急响应团队而专门设计的。
EE企业版: 用于企业中所有计算机,脚本方式安装。EE企业版没有软件操作界面,具有CE网络版的所有功能, 没有用户限制,可以对网络内无限制数量计算机进行调查取证。