Форензический набор инструментов
Что такое Форензический набор инструментов?
Форензический набор инструментовОбщий термин для подобранного и валидированного набора аппаратных, программных средств и процедур, используемых экспертом цифровой форензики для сбора, сохранения и анализа доказательств.
Форензический набор инструментов — это тщательно подобранный и документированный комплект аппаратных средств, программного обеспечения и процедур, на который опирается эксперт цифровой форензики для сбора, сохранения, анализа и оформления цифровых доказательств. Типичный набор включает блокировщики записи, чистые носители данных, инструменты создания образов (FTK Imager, Guymager, dd/dcfldd), аналитические пакеты (Autopsy, The Sleuth Kit, X-Ways, EnCase или коммерческий FTK), инструменты захвата памяти (DumpIt, WinPmem, AVML), скрипты live response, инструменты мобильной форензики (Cellebrite, Magnet AXIOM), утилиты хеширования и построения таймлайнов, а также документацию по управлению делами. Лаборатории, аккредитованные по ISO/IEC 17025, валидируют каждый инструмент на известных наборах данных для обеспечения надёжности и приемлемости. Термин отличается от Exterro FTK — конкретного коммерческого продукта, который также носит название Forensic Toolkit.
● Примеры
- 01
Реагирующий на месте берёт с собой аппаратный блокировщик записи, чистые диски, USB с FTK Imager и скрипты live response для захвата энергозависимых данных.
- 02
Лаборатория документирует версию каждого использованного форензического инструмента, чтобы соответствовать требованиям прослеживаемости ISO/IEC 17025.
● Частые вопросы
Что такое Форензический набор инструментов?
Общий термин для подобранного и валидированного набора аппаратных, программных средств и процедур, используемых экспертом цифровой форензики для сбора, сохранения и анализа доказательств. Относится к категории Криминалистика и реагирование в кибербезопасности.
Что означает Форензический набор инструментов?
Общий термин для подобранного и валидированного набора аппаратных, программных средств и процедур, используемых экспертом цифровой форензики для сбора, сохранения и анализа доказательств.
Как работает Форензический набор инструментов?
Форензический набор инструментов — это тщательно подобранный и документированный комплект аппаратных средств, программного обеспечения и процедур, на который опирается эксперт цифровой форензики для сбора, сохранения, анализа и оформления цифровых доказательств. Типичный набор включает блокировщики записи, чистые носители данных, инструменты создания образов (FTK Imager, Guymager, dd/dcfldd), аналитические пакеты (Autopsy, The Sleuth Kit, X-Ways, EnCase или коммерческий FTK), инструменты захвата памяти (DumpIt, WinPmem, AVML), скрипты live response, инструменты мобильной форензики (Cellebrite, Magnet AXIOM), утилиты хеширования и построения таймлайнов, а также документацию по управлению делами. Лаборатории, аккредитованные по ISO/IEC 17025, валидируют каждый инструмент на известных наборах данных для обеспечения надёжности и приемлемости. Термин отличается от Exterro FTK — конкретного коммерческого продукта, который также носит название Forensic Toolkit.
Как защититься от Форензический набор инструментов?
Защита от Форензический набор инструментов обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Форензический набор инструментов?
Распространённые альтернативные названия: DFIR-набор, Форензический джамп-кит, Полевой набор форензика.
● Связанные термины
- forensics-ir№ 162
Цепочка хранения доказательств
Хронологически задокументированный след всех лиц, мест и действий, влиявших на доказательство от изъятия до окончательного распоряжения им.
- forensics-ir№ 426
Криминалистическое снятие образа
Побитовая копия носителя информации, проверенная криминалистическими хешами, для криминалистического анализа и допустимая в качестве доказательства.
- forensics-ir№ 436
FTK
Forensic Toolkit (FTK) — коммерческий пакет для цифровой форензики, разработанный AccessData и теперь принадлежащий Exterro, используемый для сбора, индексации и анализа компьютерных доказательств.
- forensics-ir№ 378
EnCase
EnCase — это семейство коммерческих продуктов цифровой форензики от OpenText (изначально Guidance Software), широко используемое правоохранительными органами и корпоративными исследователями с конца 1990-х годов.
- forensics-ir№ 078
Autopsy
Открытая платформа цифровой форензики, разрабатываемая Брайаном Каррьером и Basis Technology, предоставляющая графический интерфейс к The Sleuth Kit и обширный набор аналитических модулей.
- forensics-ir№ 524
Реагирование на инциденты
Организованный процесс подготовки, обнаружения, анализа, сдерживания, устранения и восстановления после инцидентов ИБ с фиксацией уроков.