VFC

S
Bild

VFC, das 2007 erstmals der Forensik-Community vorgestellt wurde, ist die ursprüngliche Virtualisierungslösung für den Forensiker. Version 4 (VFC4) enthält einige großartige neue Funktionen, die von den Benutzern gefordert werden. Diese verbesserten Funktionen werden mit einer schnelleren und leistungsfähigeren Version von VFC geliefert.

 

Virtual Forensic Computing-Software wird häufig als unverzichtbares Werkzeug für forensische Ermittler angesehen, da sie die digitale Nachbildung eines digitalen Tatorts anhand der Originalbeweise nahtlos wiederherstellen kann. VFC arbeitet mit einem VMware Workstation Player oder Workstation Pro und VDDK (Virtual Disk Development Kit) zusammen, um den Desktop des verdächtigen in einer virtuellen Umgebung zu replizieren.

 

VMware ist nach Erfahrung des Herstellers zumindest das verlässlichste Virtualisierungs-Tool auf dem Markt, was zu einem glatteren Benutzererlebnis führt. Dank VFC kann VMware die Dinge erledigen, für die es nicht entwickelt wurde. Fehlerbehebungen werden automatisch korrigiert, um den Benutzern Zeit für komplexe Problemlösungen zu ersparen. Die Eigenstabilität von VMware hilft dabei.

Für die Strafverfolgung ist kein weiterer Kauf erforderlich, da der Workstation Player von VMware für nicht kommerzielle Zwecke kostenlos ist. FTK Imager von AccessData steht kostenlos zum Download zur Verfügung und kann als No-Nonsense-Mounting tool verwendet werden. Ermittler sind jedoch nicht an bestimmte Montageprogramme gebunden.

VFC funktioniert mit schreibgeschützten physischen Laufwerken, DD-Images im Unix-Stil oder gemounteten forensischen Images. Die Software fragt das Ziellaufwerk ab, um relevante Systeminformationen zu sammeln, sodass das VMware-Framework sehr schnell erstellt werden kann, um eine forensische Replik des Zielsystems (des Ausstellungsobjekts) als virtuelle Maschine (VM) zu erstellen. VFC erreicht dies, indem es anerkannten forensischen Praktiken folgt und gleichzeitig eine Vielzahl bekannter Probleme automatisch behebt, um BSOD- und Treiberfehler zu vermeiden und den Benutzer Stunden für manuelle Diagnose und Reparatur zu sparen.

Die resultierende VFC-VM wird in VMware gestartet, damit der Benutzer auf dem Desktop des Verdächtigen navigieren kann, als ob er seinen Computer buchstäblich eingeschaltet hätte. Alle Netzwerkverbindungen sind standardmäßig deaktiviert, um eine sichere Umgebung zu gewährleisten.

VFC bietet jetzt die Option, Hardware zu einer vorhandenen VFC-VM hinzuzufügen (z. B. zum Wiederherstellen eines Tower-Systems mit mehreren Laufwerken) und die Möglichkeit, einen eigenständigen Klon einer VM zur weiteren Untersuchung zu exportieren, ohne die forensische Workstation weiter zu belasten.

VFC4 unterstützt forensische Ermittler bei Durchführung folgender Aufgaben

  • Starten Sie ein forensisches Image des verdächtigen Computers 
  • Forensisch starten Sie einen verdächtigen Computer in seiner heimischen Umgebung
  • Erleben Sie den "Desktop", wie er vom ursprünglichen Besitzer gesehen wurde
  • Machen Sie Screenshots mit wichtigen Hinweisen wie Ordnerstruktur, Ort der Nachweise, kürzlich geöffneten Dateien, Browserverlauf und gespeicherten Passwörtern, P2P-Freigaben und Virendefinitionen
  • Interagieren Sie mit vollständig lizenzierter Software, um Dateien und Daten in ihrer ursprünglichen Umgebung (z. B. Sage oder QuickBooks) anzuzeigen
  • Interagieren Sie mit verbundenen Geräten (z. B. iPhones mit anhaftenden iTunes-Konten oder verschlüsselten USB-Laufwerken)
Bild

Eigenschaften & Vorteile

  • Umgehen von Windows Benutzer-Konten in sekunden
  1. Enthält Pass Word Bypass (PWB) Routinen für Windows 7, Windows 8 und Windows 10
  2. Das neuste Update beinhaltet PWB Routinen für 42 Varianten von Windows 10 alleine
  3. PWB Routinen werden jetzt für eine schnellere, unabhängige Aktualisierung aus dem Hauptprogramm ausgelagert
  4. PWB-Prozess beschleunigt für eine schnellere Analyse und Implementierung
  • Benutzerkontokennwort-Hashes werden im Startbildschirm extrahiert und in die VMX-Anmerkung eingebettet
  1. Die Bereitstellung von Passwort-Hashes ermöglicht die Verwendung externer Hash-Cracking-Tools, um das ursprüngliche System-Passwort zu identifizieren. Dies hilft bei Programmen, die EFS-Zugriff benötigen
  • Point-and-click option um zusätzliche Hardware hinzuzufügen, um externe oder mehrere Laufwerke in eine vorhandene VM zu laden (um den verdächtigen Computer so zu erstellen, wie er zuletzt von ihnen gesehen wurde).
  • Generieren einer eigenständigen virtuellen Maschine per Mausklick für das Teilen mit nicht technischen Abteilungen
  • Mit Restore Point Forensics kann der Benutzer eine VFC-VM in der Zeit zurückspulen
  • Größere GUI und Startbildschirm auf der Registerkarte "Start" 
  • Supports GPT formatierte Laufwerke.
  • Support für Windows 3.1 – Windows 10
  • Zusätzlicher Support für Apple Mac OSX, Linux und SunSolaris.
  • Hohe Investitionen in Forschung und Entwicklung, wiedergegeben in regulären Updates 
  • Kompletter Handy und Email support 

Ihre Ansprechpartner

VFC Virtualisierung

Unsere Experten sind gerne für Sie da.

Back to top