Примеры технических средств сбора и обработки технических данных, имеющих отдельные функциональные возможности
1. Примеры технических средств выполнения криминалистической копии (создания образа) запоминающих устройств.
В качестве программных средств выполнения криминалистической копии (создания образа) возможно использовать:
- программы (утилиты) dd и dc3dd для UNIX-систем;
- программы FTK Imager, EnCase Forensic Imager или Redline для Windows-систем;
- программу Belkasoft Evidence Center для Windows, Linux, MacOS, iOS, Android, Windows Phone, Blackberry-систем;
- программу The Sleuth Kit для Windows, MacOS, Linux, Solaris, OpenBSD, FreeBSD-систем;
- рекомендации, определенные в разделе 4.2.1 "Copying File from Media" NIST 800-86 Guide to Integrating Forensic Techniques into Incident Response [3];
- программные средства, описанные в разделе "Копирование содержимого энергонезависимых носителей информации" Инструкции по реагированию на инциденты, связанные с системами дистанционного банковского обслуживания ООО "Группа информационной безопасности" (GROUP-IB) [4].
В качестве программных средств вычисления значений хэш-функций возможно использовать:
- программы md5sum или sha256sum для Linux-систем;
- программы Memoryze для Windows и MacOS-систем;
- программу dff для Windows и Linux-систем.
В качестве специализированных программных средств - "write-blocker" - возможно использовать:
- программу dff для Windows и Linux-систем;
- рекомендации, определенные в разделе 4.2.2 "Data File Integrity" NIST 800-86 Guide to Integrating Forensic Techniques into Incident Response [3].
2. Примеры технических средств выполнения копирования содержимого оперативной памяти СВТ и получения данных операционных систем.
В качестве технических средств выполнения копирования содержимого оперативной памяти СВТ возможно использовать:
- программы FTK Imager, Redline, MoonSols Windows Memory Toolkit и Memoryze для Windows-систем;