SC Magazine מעניק 5 כוכבים לכלי הפורנזיקה של AccessData- הסקירה המלאה

SC Magazine מעניק 5 כוכבים לכלי הפורנזיקה של AccessData- הסקירה המלאה

FTK של AccessData הוא סוס עבודה מבוקש עבור משימות זיהוי פלילי. עשינו בו שימוש ככלי הפורנזיקה המרכזי בשיעורי האוניברסיטה שלנו בזכות קלות השימוש בו, עקומת הלימוד המהירה והויזואליזציה המקיפה. בשיעורי אוניברסיטה, בשונה מהכשרות רגילות, רצינו להתמקד בתהליך הפורנזיקה ולא בכלי עצמו. כשבכל סימסטר יש רק מספר שבועות מוגבל כדי ללמד את היסודות של פורנזיקה דיגיטלית, לא נותר זמן רב כדי ללמוד כלים מורכבים. FTK היה מושלם מכיוון שהוא מהיר ללימוד ואוסף כמויות גדולות של מידע.

FTK מבוסס על בסיס נתונים. כאשר אתה אוסף נתונים מהדיסק הקשיח, הכלי מעביר אותם לבסיס נתונים אחורי ומאנדקס אותו. חיפושי אינדקס הם מהירים מאוד. אם חיפוש אינדקס אינו מתאים לך בשלב מסוים, החיפוש החי מאפשר לך לחפש את האובייקט באמצעות תבניות חיפוש, hex או טקסט. מכיוון שהחיפוש החי מחפש אחר אשכול – Clusters במקום לגשת לאינדקס, הוא איטי יותר. עם זאת, סוג זה של חיפוש אינו נפוץ כמו חיפוש אינדקס.

בגרסאות מוקדמות יותר של הפתרון נדרשת להתקין כל אחד מהרכיבים – ממשק משתמש (GUI), בסיס נתונים ומנוע עיבוד – באופן נפרד וידני. כיום הכל מותקן ביחד ובאופן חלק ומהיר. אתה יכול להפעיל עד 4 מנועי עיבוד נפרדים כדי להאיץ באופן משמעותי את עיבוד העדויות. נתונים ממחשבים אחרים ברשת שלך יכולים להתווסף לאיסוף באמצעות הפעלת סוכן פשוטה. הדבר שימושי כדי לבצע ציד איומים לרוחב הארגון.

FTK יכול לאסוף נתונים מאימג'ים של Windows, MAc, Linux. הכלי יכול לעבד אימג'ים של מכונות וירטואליות כגון קבצי vmdk של VMWare או סנאפשוטים. הדבר מאיץ מאוד את העיבוד של VM. אנו ממליצים להשתמש בסנאפשוט מאחר והוא בדרך כלל מכיל גם את לכידת הזיכרון. התהליך יכלול לכידת סנאפשוט של VM תחת מתקפה ואז ניתוח שלו  באמצעות FTK.

בנוסף לפשטות וליכולות הניתוח המקיפות, ל- FTK יש ויזואליזציה מובנית המקלה מאוד על הניתוח באמצעות הצגת עדויות בדרכים שימושיות. לדוגמא, ישנה תצוגת ציר זמן המאפשרת ניתוח של אירועים פי זמן התרחשותם. ציר הזמן יכול להיות בסיסי או מפורט – כשהוא מציג את הפרטים של כל אירוע.

שרטוטי תפוצה (Distribution) יכולים לסייע בניתוח. לדוגמא, קיים גרף עבור צפוצה לפי סיומות קבצים, ואחד עבור ביזור של קטגוריות.

אנחנו השתמשנו ב- FTK במעבדה שלנו לצורך ניתוח קבצים כחלק מהמחקר שלנו. התוצאות היו שימושיות ויעילות מאוד כצפוי, והביצועים בסביבת הייצור היו מצוינים. אתר החברה מפורט ויש בו מידע רב אודות מוצרי AccessData. הרישוי נעשה בדרך כלל על ידי דונגל, אבל יש לך את אפשרות גם לדונגל תוכנה. התמחור סביר בהחלט ונותר יציב יחסית במהלך השנים האחרונות. ישנן רמות שונות של תמיכה, ומספר תוספים, שהמרכזי שבהם הוא כלי ה- Cerebus לפורנזיקה של קוד זדוני.

FTK הוא אחד מכליים שזכו ב Lab Approved שלנו מאז שהשקנו את התוכנית, וימשיך להיות מאושר לתוכנית למשך שנה נוספת.

  • פיטר סטפנסון, עורך טכנולוגיה, SC Magazine

שתף פוסט