Toolkits

Helix

Helix ist das derzeit wohl "rundeste" Paket für den Forensiker. Es wird auch vom SANS im Lehrgang - Track 8 (Forensik) eingesetzt.

The Sleuth Kit + autopsy

The Sleuth Kit ist eine weitere Sammlung von Tools für digitale Untersuchungen, allerdings kein komplettes System wie z.B. Helix. Allerdings sind die Tools auf die Kommandozeile beschränkt, was aber kein Nachteil sein muß. Gerade für geübte Ermittler läßt sich durch den Einsatz von Kommandozeilentools viel Zeit sparen. Die Tools des Sleuth Kit laufen unter Linux, MacOS X, FreeBSD, OpenBSD und Solaris. Unterstützte Dateisysteme sind u.a. FAT, NTFS, UFS, EXT2FS, and EXT3FS.

The Autopsy Forensic Browser ist ein HTML-basierter Aufsatz (GUI) für die Kommandozeilentools des Sleuth Kit. Dies kann die Arbeit vereinfachen und auch ungeübten Nutzern den Einstieg sowie die Benutzung erleichern. Für erste Schritte ist diese Kombination durchaus zu empfehlen.

Für die Protokollierung bietet sich mac-robber an, das temporäre Daten von gemounteten Systemen liest. Anhand dieser Daten kann ein Protokoll unterstützend geführt werden.

The Coroner's Toolkit (TCT)

The Coroner's Toolkit (TCT) ist eine weitere Sammlung forenischer Tools, mit der sowohl die Gewinnung als auch die Analyse durchgeführt werden kann.

Fire

F.I.R.E., eine weitere der auf dem Prinzip der Boot-CD beruhenden Tool-Sammlungen.

FCCU GNU/Linux Forensic Boot CD

Die FCCU GNU/Linux Forensic Boot CD basiert auf Knoppix und ist auf Performance und Sicherheit ausgelegt. Vereint Tools wie Sleuth und dd, setzt größtenteils den Einsatz einer Shell voraus.