私のフォレンジック作業の大部分は、ラボ環境で事後に行われるため、オンライン作業に参加するまでには遅すぎます。つまり、メモリ分析は行われません。
歴史的に私は
最近、その組み合わせから離れて、
どちらの場合も、取得は適切な書き込みブロッカーを使用して実行されます。私が使用するもののほとんどは Tablea によって行われます。私がAutopsyに移行した理由の1つは、ハッシュデータベースのサポートです [〜#〜] nsrl [〜#〜] など。もう1つは、無料であることです。 EnCaseは優れたツールですが、高価です。
私はこのトピックについてあまり詳しく調べていませんが、おそらくこのサイトが役立つかもしれません- http://www2.opensourceforensics.org/home 。
FTK by access data は見たことがない。私は数年前にEncaseとFTKの両方を使用しましたが、どちらにも長所と短所がありますが、商業的にサポートされ、法廷で認められたもう1つの法医学ツールです。
私はweibetechのブロッカーを書くのが苦手ですが、他のベンダーとの経験はあまりありません。 書き込みブロッカーのNIST検証 を見てください。そのWebサイトとして、NISTフォレンジックツールテストからの追加のソフトウェア/ハードウェアに関する検証レポートもあります。
を見てみましょう - bulk_extractor 、ディスクイメージから電子メールアドレス、クレジットカード番号、およびその他の情報を自動的に検索するプログラム。次に、ハードドライブの主な用途とその人の主要な連絡先を特定できるヒストグラムを作成します。圧縮ファイルも検索します。
私はいつも EnCase と Coroner's Toolkit (今日は Sleuthkit です)をddとともに使用しました。正直に言うと、HelixとBackTrackのLiveCDは、組織内の技術フォレンジックのために、または法執行機関や裁判所に関与する意図がない場合に、ほとんど存在します。
あなたが法廷に出廷する必要がある場合、あなたが持つ問題は来るでしょう。
その時点で、管轄に応じて、EnCaseは勝者を勝ち取ります-簡単に言うと、警察はそれについて知っている傾向があり、法廷でそれを保証できるからです。お気に入りのツールキットの認定を受けられない場合は、EnCaseをご利用ください。
この記事はNIST http://www.cftt.nist.gov/ から確認できます。ただし、これはツールボックスではなく、テストを実行する方法です。