A solução FTK analisa registros, decodifica arquivos, recupera senhas de arquivos criptografados, identifica esteganografia, cria imagens e formula relatórios com os dados encontrados.
DESCRIÇÃO:
Reconhecida mundialmente pela sua eficiência em investigações forense de computadores, a solução FTK, agora em sua versão 3.0, é capaz de processar ainda mais rapidamente uma maciça quantidade de dados devido ao processamento distribuído. Ou seja, cada licença do FTK 3.0 inclui um total de quatro “workers”, um instalado na máquina do examinador e os outros três nas máquinas que estiverem em rede, o que aumenta expressivamente a velocidade dos processos.
FUNCIONALIDADES:
Com o FTK é possível enumerar todos os processos que rodam em uma máquina, incluindo os escondidos por rootkits, e mostrar as DLLs associadas, conexões de rede e dados voláteis de máquinas 32 bits. Para cada processo, a ferramenta indica o nome, o caminho, o horário de início, o diretório de trabalho, a linha de comando, o tamanho, o título Windows, sua identificação, ParentID, MD5, SHA1 e Fuzzy Hash. O FTK indica ainda:
• Para cada DLL: nome, caminho, nome do processo, identificação do processo e ParentID;
• Para a Conexão de rede: porta, protocolo, endereço local, endereço remoto, nome e identificação do processo
• Para dados voláteis: tipo, caminho, máscara de acesso, identificação do processo.
A aplicação tem capacidade para buscar variações gramáticas com expressões regulares por Stemming e realiza o preview de no mínimo cinco discos. Fornece suporte para realizar a leitura de imagens de disco do tipo E01, SnapBack Safeback 2.0 e Expert Witness Linux DD ICS Ghost (somente a imagem forense) SMART, além de gerar imagens de discos, visualizar e interpretar registros do Windows.
O software possibilita a exposição do arquivo de evidência como compartilhamento de rede, o que permite o acesso por outras aplicações e protege os dados contra gravação.
Com aplicações como PRTK e DNA, o FTK 3.0 também pode recuperar senhas a partir de 100 assinaturas, aproveitar CPU ociosas em toda a rede para descriptografar arquivos e executar robustos ataques de dicionário. A solução ainda possui biblioteca KFF hash com 45 milhões hashes. Possui funcionalidades de busca e poderosos filtros de arquivos, que quando customizados permitem ao investigador selecionar, entre milhares de arquivos, as evidências que procura. Essa ferramenta também é considerada a líder na análise de e-mails e, através dela, é possível utilizar a web para conexão com BD e compartilhar casos.
ESPECIFICAÇÕES:
O FTK contém as seguintes aplicações:
• FTK 3.0;
• PRTK;
• DNA;
• Image Viewer;
• Rainbow Tables;
• Oracle Database;
• Processador recomendado: Intel Quad Core ou o AMD equivalente
• RAM: 6GB DDR3 / 4-8GB DDR2
• OS / Application Drive: 150GB 10000-15000 RPM
• Storage (Database, Imagens, Index): 1.0TB
• NIC: Gigabit
• Velocidade do HD: 7.200 RPM
• Controlador HW RAID: altamente recomendado para Drive Set 2
• Configuração do drive:
- Drive Set 1 (OS): 150GB
- Drive Set 2: No mínimo o Drive Set 2 deve ter RAID 0 (striping) utilizando software RAID com pelo menos 2-3 drives no dispositivo.
- Drive Set 3: Case Folder e Imagem HD.
• Sistema operacional: Windows XP/Vista/Windows7 (32-bit ou 64-bit)
• Tipos de e-mails suportados: Notes NSF, Outlook PST / OST, Exchange EDB, DBX do Outlook Express, Eudora, EML (Microsoft Internet Mail, Earthlink, Thunderbird, Quickmail, etc), Netscape, AOL e RFC 833.
• Tecnologias de criptografia suportadas: Credant, SafeBoot, Utimaco, EFS, o PGP e Edge Guardian.
• Suporte complete ao Mac:
- Processa atributos B-Trees para metadados
- Suporte PLIST
- Suporte a base de dados SQLite
- Suporte a discos de imagens Apple DMG e DD_DMG
- Suporte a arquivo JSON.
Nenhum comentário:
Postar um comentário