MD5 VFC

VFC (Virtual Forensic Computing) ermöglicht es dem Ermittler, mit Hilfe des VMWare Players ein forensisches Image virtuell zu booten. Viele fortschrittliche Funktionen erleichtern dem Prüfer das Leben: Passwort-Bypass, die Verwendung von Wiederherstellungspunkten und vieles mehr.

Einfach zu bedienen - auf der Grundlage von über 15 Jahren Forschung und Entwicklung bei der Erstellung von VMs benötigen Sie nur minimale IT-Kenntnisse, um die Software zu bedienen. Heben Sie die Analyse auf eine neue Ebene - Erleben Sie den Original-Desktop des Benutzers und machen Sie Screenshots oder Videos von wichtigen Beweiselementen für die Verwendung in Befragungen und vor Gericht.

Erstellen Sie zuverlässig und schnell eine VM aus einem forensischen Image oder einer schreibgesperrten physischen Festplatte mit nur wenigen Mausklicks.
Die Integrität des Original-Beweismaterials bleibt erhalten, da es forensisch entwickelt wurde. Die für jeden Prozess erstellten Protokolle stellen sicher, dass eine ordnungsgemäße Überwachungskette aufrechterhalten wird, und unterstützen die Einhaltung der ISO 17025-Vorschriften.

Zugriff auf:

• Verschlüsselte Festplattendaten wie Bitlocker (hierfür ist ein Wiederherstellungsschlüssel oder ähnliches erforderlich)Ursprüngliche Ordnerstruktur und Desktop-Layout (wie vom ursprünglichen Benutzer gesehen)
• Zuletzt aufgerufene Dateien und Netzwerkfreigaben
• Browserverlauf, gespeicherte Passwörter und P2P-Konten
• Interaktion mit installierter Software in ihrer ursprünglichen Umgebung und Zugriff auf Beweise, die sonst nicht verfügbar wären:
• Anzeigen von Daten mit Originalsoftware, z. B. Sage, QuickBooks, Photoshop usw.
• Daten, z. B. Kryptowährungs-Wallets oder andere Online-Systeme, unter Verwendung der ursprünglichen Benutzeranmeldedaten
• Zeitlich begrenzte oder abgelaufene Software.
• Interaktion mit original angeschlossenen Geräten wie z.B.:iPhones (über iTunes-Konten)

Es gibt zwei Produkte aus der VFC-Familie: VFC Lab und VFC Portable

VFC Lab

VFC verleiht der Art und Weise, wie ein Ermittler an einer Untersuchung arbeitet, eine neue Dynamik. VFC Lab versetzt den Ermittler "in den Raum" mit dem ursprünglichen Benutzer und bietet einen unschätzbaren Zugang zu Software und Daten, die bei einer typischen Untersuchung nicht leicht zu finden sind. Der Ermittler kann Beweise in ihrem einfachsten Format finden, genau wie der ursprüngliche Benutzer. Jedes Gerät, das untersucht wird, ist anders, und daher ist der schnelle und einfache Zugang zum Original von unschätzbarem Wert.

• VFC verfügt über viele Funktionen, die es zu einem der leistungsfähigsten Werkzeuge machen, die ein forensischer Ermittler bei der Untersuchung von digitalen Cyberangriffen einsetzen kann.
  Sobald ein Laufwerk oder Image gemountet ist, braucht VFC nur wenige Minuten, um eine VM zu erstellen, einschließlich der Umgehung der Benutzerkontopasswörter und der Injektion der von Ihnen bevorzugten Analysesoftware.
• VFC triagiert ein Gerät innerhalb von Minuten nach Erhalt des Geräts.
• VFC ist in der Lage, von vielen verschiedenen Image-Typen zu virtualisieren - einschließlich Single Volume Images und zur Virtualisierung von schreibgeschützten Laufwerken.
• VFC ist forensisch fundiert. Die generierte VM kann als Sandbox-Umgebung betrachtet werden, die es Ihnen nicht nur ermöglicht, das Gerät zu analysieren, sondern auch Dinge zu testen und zu verändern.

VFC LAB bietet folgende Funktionen:

Password Bypass Tool - umgeht, wie der Name schon sagt, die Passwörter der Windows-Benutzerkonten.
GPR Tool - setzt das Passwort des lokalen Benutzerkontos zurück und kann Windows Live-Konten in lokale Konten umwandeln. Mit Hilfe des GPR-Tools können Sie alle gespeicherten Autofill-Informationen im Browserverlauf einsehen.

• Eigenständige VM - Mit unserer eigenständigen VM-Funktion können Sie einem Kollegen, einer anderen Abteilung oder einer dritten Partei Beweise zur Verfügung stellen. Die Standalone-VM ist ideal für Berichte, Interviews und Präsentationen vor Gericht. Das Besondere an der Standalone-VM ist, dass das Original-Image oder -Laufwerk nicht vorhanden sein muss, damit sie funktioniert.
• Dateien injizieren - Mit dieser Funktion können Sie Analysesoftware von Drittanbietern in eine VM injizieren, während VFC eine VM generiert. So können Sie z. B. bewährte Analysetools einbinden, um ein Gerät zu analysieren.
• Flexibel - VFC kann mit einer Vielzahl von Image-Typen verwendet werden, die schreibgeschützt sind; und auch mit Single Volume Images ab V7
• Zugriff auf mit S-Mode konfigurierte Computer
  
  Triage - innerhalb von 30 Sekunden nach Auswahl der Partition können Sie das VFC Triage-Protokoll einsehen, das Ihnen folgende Informationen liefert:
  Kürzlich aufgerufene Dateien
  Letzte App
  Letzte URLS
  Installierte Anwendungen
  Installierte Dokumente
  Windows-Verlauf
  Chrome-Verlauf
  Windows-Verknüpfungen
  Liste der zuvor angeschlossenen USB-Geräte
  Liste der Benutzerkonten
  Zuletzt angemeldeter Benutzer
  Datum der letzten Nutzung

Wir wissen, dass nicht jede Organisation oder Einrichtung gleich ist, wenn es darum geht, wer Geräte triagiert und wie Geräte triagiert werden. Deshalb ist es wichtig, ein einfaches Werkzeug zu haben.

- ZURÜCK IN DIE ZUKUNFT- VFC ist in der Lage, eine virtuelle Maschine mit einem gewünschten Datum und einer gewünschten Uhrzeit zu erstellen. So können Sie auf lizenzierte Software und Anwendungen zugreifen, die sich noch im Lizenzzeitraum befinden.
- VFC verfügt über Skripte, mit denen Sie nahtlos mit X-Ways und EnCase arbeiten können.
- VFC kann in der Speichererfassungsanalyse sowohl bei Live- als auch bei Deadbox-Anfragen eingesetzt werden, indem bei der Erstellung einer VM eine .vmem-Datei zur Analyse erstellt wird.

VFC Portable

VFC Portable wurde entwickelt, um die vorhandene Hardware zu nutzen - am Einsatzort, im Labor und überall dort, wo es erforderlich ist.
Die Funktionalität von VFC Portable ist genau die gleiche wie die von VFC Lab, mit den zusätzlichen Funktionen, die den Einsatz von VFC im Feld ermöglichen.

Schreibsperre - VFC Portable erlaubt es Ihnen, automatische Online-Festplatten, SSD und Windows Dynamic Disks zu deaktivieren. Diese Funktion finden Sie auf der Registerkarte Einstellungen/Tools in VFC. (nur bei der portablen Version). Die Laufwerke werden nur gelesen.
VFC Portable kann in der Speichererfassungsanalyse sowohl in Live- als auch in Deadbox-Anfragen verwendet werden, indem eine .vmem-Datei beim Erzeugen einer VM erstellt wird.

VFC-Triage

Es ist von entscheidender Bedeutung, dass Sie in der Lage sind, ein Computergerät vor Ort schnell einzuteilen. Bei der Triage am Tatort wollen Sie so schnell wie möglich vor Ort sein und gleichzeitig genügend Beweise sammeln, um das Gerät ins Labor zurückzubringen oder sogar zu entscheiden, dass es die Fallparameter nicht erfüllt. Die VFC-Triage ermöglicht Ihnen einen schnellen und sicheren Zugriff auf das Gerät. Innerhalb von 30 Sekunden nach Auswahl der Partition können Sie das VFC-Triage-Protokoll einsehen, das Ihnen folgende Informationen bietet:

• Kürzlich aufgerufene Dateien
• Letzte App
• Letzte URLS
• Installierte Anwendungen
• Installierte Dokumente
• Windows-Verlauf
• Chrome-Verlauf
• Windows-Verknüpfungen
• Liste der zuvor angeschlossenen USB-Geräte
• Liste der Benutzerkonten
• Zuletzt angemeldeter Benutzer
• Datum der letzten Nutzung

Dateien einbinden - Mit dieser Funktion können Sie Analysesoftware von Drittanbietern in eine VM einbinden, während VFC eine VM erzeugt. Dies kann alles sein, was bei der Analyse hilft. Sie können zum Beispiel bewährte Analysetools injizieren, um ein Gerät vor Ort zu analysieren.
Zugriff auf mit S-Mode konfigurierte Computer
Password Bypass Tool umgeht, wie der Name schon sagt, die Passwörter der Windows-Benutzerkonten.
Das GPR-Tool setzt das Kennwort des lokalen Benutzerkontos zurück und kann außerdem Windows Live-Konten in lokale Konten umwandeln. Mit Hilfe des GPR-Tools können Sie alle gespeicherten Autofill-Informationen im Browserverlauf einsehen.