O Live View é uma ferramenta forense baseada em Java que cria uma máquina virtual VMware a partir de uma imagem (Exemplo: DD/E01) ou disco físico. Isso permite que o examinador forense inicialize um disco e possa ter uma visão interativa de usuário, tudo sem modificar a imagem subjacente ou disco. Porque todas as alterações feitas para o disco são gravados em um arquivo separado, o examinador pode imediatamente reverter todas as suas mudanças de volta ao estado original do disco.
Este artigo tem como objetivo apresentar os pré requisitos, e mostrar como utiliza-lo quando o examinador estiver utilizando o EnCase.
PRÉ-REQUISITOS:
* Uma estação com sistema operacional Windows 7 ou superior
Após realizar a instalação dos itens acima, abra o EnCase Examiner e siga o seguinte passo a passo:
1º Crie um novo caso ou utilize algum que já esteja trabalhando;
2º Adicione uma nova evidência ou utilize algum que já esteja trabalhando;
3º Abra sua evidência e em seguida clique com o botão direito em "Entries" > "Device" > "Share" > "Mount as Emulated Disk"
Faça isso e avance as próximas telas, após o término do carregamento sua evidência será emulada como uma unidade de disco.
Pronto ! Agora é só utilizar o Live View conforme mencionado no início e acessar o sistema operacional em modo de usuário.
Espero ter ajudado.
Nenhum comentário:
Postar um comentário