Aus Florida kommt die Software F-Response, mit der die Live Response von Windows-Systemen einfacher und besser werden soll. Es gibt schon die ersten Jubelschreie über das Tool. Der Hersteller hat mir eine Demo-Version zur Verfügung und ich werde bei Gelegenheit über den Einsatz berichten. F-Response funktioniert im Grundsatz wie folgt:
Man kann von der F-Response Analyse-Workstation über das Netz auf die Datenträger der verdächtigen Windows-Maschine zugreifen, auf der der eine Applikation zu starten ist. Dabei werden mittels eines SCSI-Protokoll-Layers die logischen, raw und physikalischen Datenträger Devices über die Analyse-Workstation zugreifbar gemacht. Da das ganze read-only passiert, kann man nun entspannt Images erstellen oder diverse IR-Skripte starten usw.
Es werden drei unterschiedliche Versionen unterschieden:
F-Response Field Kit: es kann immer nur ein System gleichzeitig analysiert werden, da der USB Lizenz-Dongle in der verdächtigen Maschine stecken muss. Finde ich jetzt eher unschön, von wegen MAC Timestampd und so.
F-Response Consultant: es können mehrere Systeme gleichzeitig über das Netz analysiert werden. Der Lizenz-Dongle steckt in der Analyse-Workstation.
F-Response Enterprise: es können mehrere Systeme gleichzeitig über das Netz analysiert werden und über eine Appliance erweitert werden, um mehreren Ermittlern den Zugriff zu ermöglichen.
Die Preise rangieren von $299 bis zu $4.999
2 thoughts on “Live Response mit F-Response”