Herramientas de código abierto herramienta informática forense se prefieren a menudo sobre las alternativas comerciales debido a que sus métodos están mejor documentados y los resultados más fácilmente duplicarse . Esto se debe a que los programas de código abierto proporcionan a los usuarios el acceso al código fuente original y comentarios programador . Cuando se utiliza la evidencia forense en los tribunales, lo mejor es que las herramientas utilizadas en su descubrimiento se pueden examinar y explicar al tribunal. Alternativas de código cerrado no proporcionan esta capacidad , precisamente porque su código fuente es la propiedad privada de la empresa comercial que vende el software. Forenses Adquisición Utilidades
Forense Adquisición Utilidades ayudan a abrir un disco duro.
Más que contiene un solo programa, Forense Adquisición Utilities es un conjunto de herramientas forenses informáticas que han sido agrupados por George Garner. Estos programas pueden ayudar al equipo forense examinador en la recolección de pruebas de un sistema informático Windows en ejecución. El paquete incluye herramientas para limpiar los medios de almacenamiento de duplicación forense, localizar e identificar los volúmenes lógicos , y garantizar la integridad de los datos , con una suma de comprobación criptográfica. Mientras lo hace minimizar las modificaciones del conjunto de datos original, este paquete no impide que todos los cambios.
TestDisk TestDisk
ayuda a recuperar la información eliminada.
TestDisk es un programa de recuperación de datos fácil de usar , potente, de código abierto. Se utiliza para recuperar los datos perdidos debido a la falla de software , algunos virus , y la intervención humana intencional o accidental. Con TestDisk , un equipo forense examinador puede recuperar los datos de cualquiera de las particiones de disco más comunes. Estas particiones pueden haber sido dañados o eliminados por un programa defectuoso o virus. Otra posibilidad es que las particiones pueden haber sido eliminados por el usuario de la computadora , ya sea accidental o intencionalmente para ocultar la evidencia.
LiveView
Usando lugares LiveView el equipo forense examinador a la derecha en el teclado del sistema de sospechoso .
TestDisk Usando será recuperar los datos perdidos , y las utilidades de la adquisición forense puede copiar los datos en otro disco , pero el equipo forense examinador tendrá LiveView para acceder y analizar la evidencia. LiveView permite al examinador para convertir la imagen de disco en bruto en un formato que puede ser utilizado por una máquina virtual de VMware. El equipo forense examinador puede luego " arrancar " la imagen como si estuviera sentado a la derecha en el teclado de la computadora se ha tomado de . Una vez hecho esto , será capaz de ver todo el sistema y la búsqueda de los archivos que necesita para construir su caso.