Thursday, April 28, 2011

AccessData TRIAGE

Meu grande amigo Rodrigo Antão escreveu um excelente artigo sobre os crescentes desafios da computação forense nos dias de hoje, inclusive os problemas acarretados pelo crescente aumento da capacidade de armazenamento das mídias atuais: o volume de dados para análise após uma apreensão pode ser gigantesca! Discos com capacidade para armazernar 1TB de dados estão se popularizando cada vez mais, e uma análise em toda essa massa de dados pode demorar muito.

Pensando neste cenário, a AccessData apresenta sua resposta ao desafio: AD TRIAGE.



O AD TRIAGE é uma solução portátil, que pode ser utilizada em campo por profissionais que não tenham grandes conhecimentos em computação forense para realizar "acquire" de informações.


Detalhes do produto (em inglês)

  • Built on FTK technology
  • Preview and acquire full disk, targeted data, or copy an external hard drive (AD1, E01, RAW, or SMART)
  • Supports powered-down Macs with Intel® processors
  • Built-in explicit image detection and scoring
  • Advanced automated collection allows you to pre-configure Triage to automatically collect only pertinent data
  • The “Triage Receiver” can be used to export data to a pre-configured location on the network. Simply export the data directly from the target system to a designated network share.
  • Manual mode allows you to search the file system prior to collection
  • Pre-configured options for reporting on collected data


Esta solução da AccessData é capaz de coletar dados dos seguintes locais: (em inglês)

Browser
  • Chrome Browser History
  • Default Browsers
  • Firefox Browser History
  • Internet Explorer History
  • Internet Explorer Registry Keys
  • Typed URLs

Files
  • Desktop Files
  • MS Office Recently Opened
  • Recent Files
  • Recently Accessed Media Player Files
  • Temporary Executables

Network
  • ARP Table
  • DNS Cache
  • Domain Systems
  • Local Shares
  • Network Adaptors
  • Network Connections
  • Remote Shares
  • Routing Tables
  • IP Addresses

Software
  • Acrobat History
  • Application Usage History
  • Installed Software
  • Manually Launched Applications
  • Microsoft Management Console
  • Program Files Software
  • Start-up Programs

System
  • Clipboard Data
  • Device Drivers
  • Memory Dump
  • Processes
  • Scheduled Tasks
  • Screenshot
  • Services
  • User Accounts
  • User Groups
  • Acquire Registry
  • System Information
  • Typed Paths
  • USB Devices

Users
  • Owner Information
  • SAM Users



Já estou com a ferramenta aqui em mãos e estou testando. Assim que concluir meus testes, irei postar os resultados!


Maiores informações no site da AccessData.

No comments:

Post a Comment