Virtual Forensic Computing (VFC)
Le logiciel d’informatique légale virtuelle est souvent considéré comme un outil essentiel pour les enquêteurs judiciaires, car il permet de reconstituer une scène de crime numérique en utilisant les preuves originales.
VFC travaille en collaboration avec VMware Workstation Player ou Workstation Pro et Virtual Disk Development Kit (VDDK) pour répliquer le bureau du suspect dans un environnement virtuel.
VMware, du moins d’après notre expérience, est l’outil de virtualisation le plus fiable du marché qui permet une expérience utilisateur plus fluide. VFC oblige VMware à faire des choses pour lesquelles il n’a pas été conçu, en corrigeant automatiquement les erreurs pour éviter à l’utilisateur des heures de résolution de problèmes complexes. La stabilité inhérente à VMware y contribue.
Pour les services chargés de l’application de la loi, aucun autre achat n’est nécessaire puisque le lecteur VMware Workstation Player est gratuit pour une utilisation non commerciale. L’imageur FTK d’AccessData est librement téléchargeable et peut être utilisé comme un outil de montage pratique, mais les enquêteurs ne sont pas liés à des programmes de montage particuliers.
VFC fonctionne avec des lecteurs physiques bloqués en écriture, des images DD de type Unix ou des images judiciaires montées. Le logiciel interroge le lecteur cible pour recueillir des informations système pertinentes afin qu’il puisse très rapidement construire le framework VMware pour créer une réplique légale du système cible (l’exposition) en tant que machine virtuelle (VM). VFC y parvient en suivant les pratiques médico-légales acceptées tout en corrigeant simultanément et automatiquement une multitude de problèmes connus afin d’éviter les erreurs de BSOD et de conducteur et d’épargner à l’utilisateur des heures de diagnostic et de réparation manuels.
La VFC VMM résultante est lancée dans VMware pour permettre à l’utilisateur de naviguer sur le bureau du suspect comme s’il avait littéralement allumé sa machine. Toutes les connexions réseau sont désactivées par défaut pour assurer un environnement sécurisé.
VFC offre maintenant la possibilité d’ajouter du matériel à une VM VFC existante (par exemple pour reconstruire un système de tour avec plusieurs lecteurs) et la possibilité d’exporter un clone autonome d’une VM pour une investigation plus approfondie sans immobiliser davantage le poste de travail légal.
VFC4 aide les enquêteurs judiciaires à exécuter les tâches suivantes :
- Démarrez une image forensic de l’ordinateur d’un suspect.
- Lancer une machine suspecte dans son environnement d’origine.
- Vivez l’expérience du « bureau » tel qu’il est vu par l’utilisateur original.
- Faites des captures d’écran de preuves clés telles que la structure des dossiers, l’emplacement des preuves, les fichiers récemment consultés, l’historique de navigation et les mots de passe enregistrés, les partages P2P et les définitions de virus, etc.
- Interagir avec un logiciel sous licence complète pour visualiser des fichiers et des données dans son environnement d’origine (par exemple, Sage ou QuickBooks) sans avoir besoin d’investir dans une copie du logiciel souvent coûteux.
- Interagir avec les périphériques connectés (par exemple, les iPhones avec des comptes iTunes inhérents ou des clés USB cryptées).
Caractéristiques et avantages
- Inclut les routines de contournement des mots de passe (PWB) pour Windows 7, Windows 8 et Windows 10.
- La dernière mise à jour* inclut des routines PWB pour 42 variantes du SE Windows 10 uniquement.
- Routines PWB maintenant externalisées du programme principal pour des mises à jour plus rapides et indépendantes.
- Le processus du PTB a été accéléré pour une analyse et une mise en œuvre plus rapides.
- Les hachages de mots de passe de compte d’utilisateur sont extraits vers l’écran d’accueil et intégrés dans l’annotation VMX.
- La fourniture de hachages de mots de passe permet d’utiliser des outils de hachage externes pour identifier le mot de passe système d’origine. Cela aide avec les programmes qui nécessitent l’accès EFS.
- Option pointer-cliquer pour ajouter du matériel supplémentaire pour charger des lecteurs externes ou multiples dans une machine virtuelle existante (pour reconstruire la machine suspecte telle qu’elle l’a vue en dernier).
- Génération par pointer-cliquer d’une machine virtuelle autonome à partager avec des services non techniques.
- Restore Point Forensics permet à l’utilisateur de » rembobiner » une VFC VM dans le temps.
- Interface graphique plus grande et écran d’accueil plus grand sur l’onglet Accueil.
- Prise en charge des disques formatés GPT.
- Prise en charge de Windows 3.1 – Windows 10.
- Prise en charge supplémentaire pour Apple Mac OSX, Linux et SunSolaris.
- Investissements importants en R & D qui se traduisent par des mises à jour régulières.
- Support complet par téléphone et par courriel.