資安論壇

Digital Investigations 跟 Digital Forensics中最有名軟體應該是Encase .
不過個人比較主觀認為.這軟體技術面太淺.不適合做吃飯工具...

1.主要是方便非專業人員操作與建檔為最大目的.

2.因為缺乏核心技術 ,Encase 內功能.其他軟體都能做到.基本上關鍵data 就那些..

3.個人電腦 上igital Investigations 一般最大問題 應該是HDD data recovery .
解決HDD data recovery目前要用硬體工具.PC3000 or 效率源.

MS 也有出類似
Microsoft Computer Online Forensic Evidence Extractor 微軟 電腦線上法務證據提取器
簡稱COFFEE
http://www.microsoft.com/industry/government/solutions/cofee/default.aspx

微軟於2008 開發的司法取證工具,免費給與國際刑警組織 National White Collar Crime Center (NW3C) 使用

http://www.megaleecher.net/taxonomy/term/8322

_________________
OSSLab 實驗室 http://www.osslab.com.tw/
Opensources,虛擬化,Voip,逆向工程,Data recovery,Storage ,Embedded system ,通訊系統

請問它有 FinalData 所做不到的功能嗎 ?

去網頁看了一下，是商業軟體，好像沒有試用版可以試看看 ?

_________________
天道循環，生死不昧，真空妙有，還於本然
諦聽我們的靈魂之聲，所有飄零的靈魂，此世虛幻，此生一夢，生者必死
勢不可去盡，話不可說盡，福不可享盡，規矩不可行盡，凡事太盡，緣分勢必早盡
貼圖空間
viewtopic.php?t=8816

finaldata, rstudio 是針對storage logical layer (分區表,檔案標頭, 等)做處理的軟體.

PC3000 跟xlysoft 是經過逆向工程 還原原廠的Protocol 的硬體

可以對HDD Service area 處理 但是不會全部型號

Service area會放HDD firmware .壞了會造成bios 等抓不到等各種狀況.
Smart 資料也都是放在 Service area

for example：Hitachi RVSD module 損壞.一樣會發出接近 pre amp或磁頭壞的敲盤聲

_________________
OSSLab 實驗室 http://www.osslab.com.tw/
Opensources,虛擬化,Voip,逆向工程,Data recovery,Storage ,Embedded system ,通訊系統

EnCase在資料還原上面當然無法跟專業軟體相比，但電腦鑑識並不只專注於檔案還原，我只能說如果是運用在"電腦鑑識"，那EnCase絕對是第一把交椅!!而且有者不可取代的實用性...

鑑識(Forensics) 本身是從電子媒界中分析出來所需的資訊
但我個人認為Forensics跟DR 是要合一的 (難不成需要硬碟要修 U盤要救 都給委外?) 才能說的上真正 電子鑑識技術

Encase 本身 是適合執法單位流程,(比如說對 Diskimage 加密跟加上管理權限 必需確保 此電子證據沒做修改)
但是如果論一般個人用 ,徵信社.公司找商務間諜
想要快速掃描獲取出
1.瀏覽記錄　書籤 帳號密碼
2.各種IM 的對話記錄 (MSN ,Skype ,QQ ,ICQ ,etc...)
3.EMAIL 提取修改編碼 ,恢復
4.文件 照片 ,影像 資料庫檔等

以Encase 10倍 價格跟現行小軟體或手工軟體相比 Encase 價格 效果不理想

至於DR 領域更不是encase 擅長 但是一般公司行號跟使用者是偏於DR需求...
(小軟體找一般MIS 應該可以操作 ,但是DR 方面應該是0經驗)

前陣子剛好跟某DR, Forensic界 設備大老板吃飯.
這位大老版狂打市場 各類公司行號必備 "DR ,Forensics "工具
並可在無訓練下解決一堆問題

Forensics跟DR 本質都是Computer Science ,若我們沒有從電腦科學本質去做合理流程跟處理.
一味的迷信昂貴軟體或硬體設備都是不切實際的..

_________________
OSSLab 實驗室 http://www.osslab.com.tw/
Opensources,虛擬化,Voip,逆向工程,Data recovery,Storage ,Embedded system ,通訊系統

就encase涉及的IT底層技術(file systems, recovery, search and hash)來看，的確沒有太多的特點，他門也有競爭對手example: accessdata ftk。
但是如果考量到他這家公司的所提供的efm資料串流bitstream以及具備hash的功能來說，這在國際的法庭上，已經是多年來被認可的標準規格之一。這也就是為何，他們需要賣這樣貴的原因。
換言之，如果有需求，我門當然可以用final data或是一些open source的工具去拯救資料，還原資料，或是從救回來的資料中去調查與分析事件的真相。但是，如果要拿到法庭上當作數位證據作為呈堂證供，在技術上必須提出數位資料在取證過程中未被汙染的強有力證據。
數位證據在法院上分成證據能力與證明能力。我們透過工具取得數位證據，是用何種方式取得?是否合乎取證的程序，證據是否被汙染，這都有關於證據能力。一旦數位證據正式呈送到法院後，能不能作為案件審判的相關證據，以及證明犯罪的能力有多少，那是數位證據證明能力的問題。所以說，當我們用市面上很多的拯救資料，還原資料，與封存數位證據的工具來看時，不是單純的能否將資料還原與拯救回來，是需要考慮上述的問題的。
舉例來說，如果我門用final data直接去把目標證物的硬碟掃過一遍，是不是會留下汙染的資料在目標硬碟中?另外，還原回來的資料，要如何證明沒有被我門自己汙染到，這都需要一連串的縝密的程序才能完成，且這在美國等的國際法庭上都已經行之多年，反觀台灣，還在萌芽階段，這是在這邊想要分享的概念。