open-source strumenti di computer forensics sono spesso preferito su alternative commerciali perché i loro metodi sono meglio documentate ed i risultati più facilmente duplicati . Questo perché i programmi open-source offrono agli utenti l'accesso al codice sorgente originale e commenti programmatore . Quando il computer forensics prova è usato in tribunale , è meglio se gli strumenti utilizzati per la sua scoperta possono essere esaminati e spiegati alla corte. Alternative a sorgente chiusa , non hanno questa capacità , proprio perché il loro codice sorgente è di proprietà privata di un'impresa commerciale che vende il software. Forensic Acquisition Utilità
Forensics Acquisizione Utilities aiutano ad aprire un disco rigido .
Piuttosto che contiene un unico programma , Forensic Acquisition Utilities è una collezione di forensics strumenti informatici che sono stati raggruppati da George Garner . Questi programmi possono aiutare il computer forensics esaminatore nella raccolta delle prove da un sistema con computer Windows . Il pacchetto include strumenti per pulire supporti di memorizzazione per la duplicazione forense , localizzare e identificare i volumi logici , e di garantire l'integrità dei dati , con un totale di controllo crittografico . Mentre lo fa ridurre al minimo le modifiche al set di dati originale , questo pacchetto non impedisce tutte le modifiche .
TestDisk
TestDisk aiuta a recuperare le informazioni eliminate .
TestDisk è un facile da usare, potente open-source programma di recupero dati , . E 'utilizzato per recuperare i dati persi a causa di software difettoso , alcuni virus , e l'intervento umano intenzionale o accidentale . Utilizzando TestDisk , un computer forensics esaminatore può recuperare i dati da una qualsiasi delle partizioni del disco più comuni . Queste partizioni possono essere stati danneggiati o cancellati da un programma difettoso o virus. Un'altra possibilità è che le partizioni potrebbero essere stati eliminati dal computer dell'utente , accidentalmente o intenzionalmente per nascondere le prove .
LiveView
Utilizzando posti LiveView computer forensics esaminatore giusto al la tastiera del sistema di sospetto.
Utilizzando TestDisk sarà recuperare i dati persi , e l'acquisizione forense utilità in grado di copiare i dati su un altro disco , ma il computer forensics esaminatore dovrà LiveView per accedere e analizzare le prove . LiveView permette all'esaminatore di convertire l'immagine del disco raw in un formato che può essere utilizzato da una macchina virtuale VMware . Il computer forensics esaminatore può quindi " avviare " l'immagine come se fosse seduto proprio alla tastiera del computer è stato preso da . Una volta fatto questo , egli sarà in grado di guardare in giro per il sistema e cercare i file di cui ha bisogno per costruire il suo caso .