Virtual Forensic Computing Version 7 ist da!
Kurzer Überblick:
– Die Möglichkeit, einzelne Volume-Partitionsimages zu virtualisieren.
– Die Möglichkeit, den immer beliebter werdenden Windows S-Modus zu umgehen.
– Eine Dateiinjektionsfunktion, mit der Sie Ihre bevorzugten Tools in eine VM einschleusen können, während diese erstellt wird.
VFC 7 ist das perfekte Tool für Ermittler in den Bereichen Cybersicherheit, digitale Forensik und Vorfallreaktion!
Was ist neu in Version 7
VFC v7 verfügt über einen optimierten Arbeitsablauf, der den Übergang vom forensischen Image zur virtuellen Maschine vereinfacht, dem erfahrenen Benutzer aber dennoch eine detaillierte Untersuchung des bereitgestellten Images ermöglicht.
Single Volume Images
VFC v7 unterstützt jetzt nicht bootfähige Einzel-Volume-Images. Hierbei handelt es sich um Images, die ein vollständiges Dateisystem enthalten, aber keine entfernten Komponenten enthalten, die in einem gesamten Disk-Image enthalten sind. VFC v7 kann jetzt die fehlenden Komponenten nahtlos emulieren und ermöglicht die Konvertierung solcher Images in eine bootfähige virtuelle Maschine.
Bei der Virtualisierung eines einzelnen Volume-Images muss eine virtuelle Umgebung eingerichtet werden, in der auf den Inhalt des einzelnen Volume-Images zugegriffen und mit ihm interagiert werden kann, als wäre es ein physisches Speichervolume. Eine virtuelle Maschine bietet eine kontrollierte und isolierte Umgebung für die Arbeit mit den Inhalten des Bildes und erleichtert so die Analyse und Bearbeitung der Daten, ohne das Originalbild zu beeinträchtigen.
VFC übernimmt all dies für Sie, was es zu einem unschätzbar wertvollen Werkzeug macht, das für verschiedene Zwecke wie Cyber-/Digital-Forensik-Tests, -Entwicklung und -Analysen verwendet werden kann.
Dies ist besonders nützlich für Bilder, die als einzelnes Volume erfasst wurden oder bei denen ein Bild aus einem anderen volumebasierten Format konvertiert wurde, z. B. einem Gerät, das TPM(TCM)-verschlüsselt, „BitLocker“ und „VeraCrypt“-verschlüsselt ist, oder jedes unterstützte Bildformat, das auf diese Weise konvertiert werden kann.
Die Verwendung von VFC zur Virtualisierung eines TPM-, BitLocker- oder VeraCrypt-verschlüsselten Einzel-Volume-Image ermöglicht den kontrollierten Zugriff und die Analyse der entschlüsselten Daten, ohne das Original-Image zu ändern.
VFC ermöglicht es einem Cyber\Digital\Incident Response Investigator, die Best Practices zur Wahrung der Integrität der digitalen Beweise mit Zuversicht zu befolgen und stellt sicher, dass während des gesamten Analyseprozesses eine ordnungsgemäße Überwachungskette aufrechterhalten wird.
(Bitte beachten Sie, dass VFC keine logischen L01-Images unterstützt. Diese enthalten keine Dateisysteminformationen und können nicht in eine bootfähige virtuelle Maschine konvertiert werden.)
Zugriff auf Computer, die mit S-Mode konfiguriert sind
Der Windows-S-Modus wird hauptsächlich in bestimmten Umgebungen verwendet, in denen ein sichereres und kontrollierteres Computererlebnis gewünscht wird. Hier sind einige der häufigsten Szenarien, in denen der Windows S-Modus verwendet wird:
Bildungssektor:
Der Windows S-Modus wird häufig verwendet in Bildungseinrichtungen wie Schulen und Universitäten. Durch die Vereinfachung und Beschränkung auf die Installation von Apps aus dem Microsoft Store kann eine sicherere und kontrollierte Umgebung für Schüler und Lehrkräfte geschaffen werden.
Unternehmens- und Geschäftsumgebungen:
Einige Unternehmen entscheiden sich möglicherweise dafür können den Windows S-Modus auf ihren Geräten verwenden, um die Sicherheit und Verwaltbarkeit zu verbessern. Die eingeschränkte App-Installation kann dazu beitragen, die Installation nicht autorisierter oder potenziell schädlicher Software zu verhindern.
Geräte für allgemeine Verbraucher:
In einigen Fällen Hersteller können Windows im S-Modus auf bestimmten Geräten vorinstallieren, die sich an allgemeine Verbraucher richten. Dies ist im Vergleich zur Verwendung im Bildungs- und Unternehmensbereich weniger verbreitet, bietet jedoch ein vereinfachtes und sicheres Computererlebnis für Einzelpersonen, die keine Software von außerhalb des Microsoft Store installieren müssen.
VFC ermöglicht es dem System, wie ein Standardbetriebssystem ohne die Kontrollen und Sicherheitseinschränkungen des S-Modus zu arbeiten.
Dateien einfügen
Mit dieser sehr leistungsstarken Funktion können Sie Analysesoftware von Drittanbietern in eine VM einschleusen, während VFC sie generiert. Ob Sie ein Cyber-Forensiker sind; Digitale Forensik; Mit Incident Response Investigator verfügen Sie über Ihre bevorzugte Suite von Tools, die Sie bei der Analyse eines Geräts in Ihren Anfragen unterstützen und durchführen. Mit dieser Funktion können Sie die generierte VM verwenden, um die Antworten vor Ort oder im Labor effizienter und effektiver zu erhalten.
VFC Triage
Die Möglichkeit, ein Computergerät vor Ort oder im Labor schnell zu selektieren, kann sich als wichtig erweisen. Durch die Priorisierung von Elementen kann eine Organisation Zeit und Geld sparen. Wenn Sie eine Triage vor Ort durchführen, möchten Sie so schnell wie möglich vor Ort sein und gleichzeitig genügend Beweise sammeln, um die Rückführung des Geräts ins Labor zu rechtfertigen oder sogar zu entscheiden, dass es die Fallparameter nicht erfüllt. VFC-Triage ermöglicht Ihnen schnellen und sicheren Zugriff auf das Gerät. Innerhalb von 30 Sekunden nach Auswahl der Partition können Sie das VFC-Triage-Protokoll anzeigen, das Ihnen Folgendes liefern kann:
- Zuletzt aufgerufene Dateien
- Letzte App
- Aktuelle URLs
- Installierte Anwendungen
- Installierte Dokumente
- Windows-Verlauf
- Chrome-Verlauf
- Windows-Links
- Liste der zuvor angeschlossenen USB-Geräte
- Liste der Benutzerkonten
- Letzter angemeldeter Benutzer
- Datum der letzten Verwendung
https://www.megasoft.de/kontakt/
Email: vertrieb@megasoft.de
Tel.: +49 2173 265 06 0
English 
German