一、產品概況:
MD5是英國知名的電子數據取證公司之一,是虛擬取證計算軟件(Virtual Forensic Computing)的始創者。VFC5可以快速、無縫地從“嫌疑盤”或者“證據盤”重新創建一個虛擬的犯罪現場,通常能隻用不到1分鍾的時間(包括繞過密碼)進行仿真。並且,該過程不會對原始證據進行任何篡改,還可以隨意重複進行。VFC這款國際知名的軟件使電子取證調查員能夠在其本機環境中查看犯罪嫌疑人的設備,是每個電子取證調查員工具箱中的“重要成員”。
二、產品功能:
可使用預先編寫的腳本從現有的取證軟件啟動VFC或構建自己的命令行流程。
啟動嫌疑人計算機的取證鏡像(已安裝),並體驗原始用戶看到的“桌麵”。支持Windows 3.1-Windows 10(包括GPT格式的磁盤)、Apple Mac OSX、Linux和SunSolaris OS。與已安裝的取證鏡像,物理磁盤,以及VMDK文件一起工作。
截取關鍵證據,如文件夾結構、證據位置、最近訪問的文件、曆史瀏覽、保存的密碼、P2P共享和病毒定義等。
可以通過已經安裝在主機係統上的軟件來訪問本地應用程序中的定製數據,無論是P2P / torrent下載,Sage數據庫還是QuickBooks記帳記錄等。
VFC使調查人員能夠訪問已加密的手機或USB設備(如連接到VM上的iTunes帳戶的iphoness或加密的USB硬盤),其解密密碼自動保存在這些設備已連接過的可疑計算機/筆記本電腦上。 通過此過程可以對這些設備進行取證鏡像。
在幾秒鍾內繞過本地Windows用戶帳戶密碼。VFC5包含用於2000多個離散Windows構建的PWB(密碼繞過)例程。
可生成詳細的取證日誌記錄,記錄軟件所有操作步驟。
本地用戶帳戶密碼哈希被提取到初始屏幕並嵌入到VMX注釋中(存儲在VFC日誌文件中)。提供密碼哈希後,便可以使用外部哈希破解工具來識別原始係統密碼。這有助於處理需要EFS訪問的程序。
可以使用便攜式獨立克隆虛擬機在法庭上現場展示犯罪嫌疑人的桌麵,也可以將其截屏成靜態圖片以進行報告。這給法官、陪審團成員或律師等非技術人員理解和識別調查數據帶來了非常大的便利。
三、新增功能:
VFC Mount——自帶掛載工具,可簡化虛擬化過程並消除對第三方工具的依賴,VFC Mount當前支持.E01,.EX01,AFF4,.VMDK,.BIN,.IMG,.RAW和.DD鏡像文件。VFC5還可以通過程序頁腳中新添加的快速啟動按鈕,快速訪問當下常用的掛載工具,例如FTK Imager和Mount Image Pro的依賴。
命令行接口(CLI)——允許您從現有的取證分析套件中啟動VFC,CLI支持與主要取證分析軟件的集成。
通用密碼重置(GPR)——GPR完全獨立於遺留密碼繞過(PWB)功能。它將專有的VFC組件注入虛擬機,可用於將“ Live ID”帳戶轉換為本地帳戶,重置本地用戶帳戶密碼或打開功能強大的係統級命令提示符。
修補虛擬機/還原點功能——使用Windows係統還原功能可將虛擬機倒回到早期狀態,以查看早期版本的虛擬機桌麵上保存的快捷方式——比如已經被刪除的惡意網站或恐怖活動網站鏈接。還可以通過自動應用VFC的集體知識來幫助您“修複”損壞的虛擬機。
支持64位主機係統——增強了與現代係統的兼容性。
支持更多操作係統——現在支持2,000多個離散Windows版本密碼繞過。通過在整個虛擬取證計算過程中比以往任何時候都更輕,更快,功能更強大且集成度更高。
四、配置要求:
Windows7 SP1或更高版本的PCU
虛擬機:VMware®Workstation Pro / Player v12或更高版本
1024×768分辨率或更高分辨率
至少100MB的可用空間
具有安裝VFC和安裝/卸載鏡像的管理員權限
VFC安裝工具(廠家提供)或適當的第三方安裝工具
USB端口(用於加密狗)