Lancé en 2007, VFC est la principale solution de virtualisation pour les enquêteurs en informatique judiciaire. VFC est utilisé pour créer une copie virtuelle (VM) d'un ordinateur suspect :
Rapide – VFC prend généralement seulement quelques minutes pour produire une VM amorçable
Sûr – VFC est sûre du point de vue de la procédure forensique et ne modifie pas les données probatoires originales
Flexible – VFC prend en charge les formats d'image forensique courants ainsi que les disques physiques protégés en écriture
Fiable – Basée sur plus de 15 ans de recherche, elle prend en charge de nombreuses configurations de systèmes d'exploitation et de machines et peut produire une VM utilisable dans plus de 95 % des cas
Performante – VFC inclut un outil de montage d'image intégré et peut contourner la plupart des mots de passe de compte Windows en quelques secondes
VFC élimine les suppositions de la virtualisation et permet à l'enquêteur de se concentrer sur l'enquête. Il permet à l'enquêteur de vivre rapidement l'environnement informatique comme l'utilisateur original. Cela place l'enquêteur "dans la pièce" avec le suspect, offrant un accès inestimable aux logiciels et aux données qui ne peuvent pas être facilement trouvés avec un examen classique d'une "boîte morte".
VFC Mount Édition Gratuite
ImageVFC permet de démarrer rapidement une image de disque forensique en tant que machine virtuelle. Cela permet à l'enquêteur de vivre l'environnement informatique original tel qu'il était vu par un suspect. VFC prend en charge divers outils de montage d'image tiers. Il inclut également l'outil intégré très performant VFC Mount. Une édition gratuite de cet outil de montage est disponible sur ce site web. Il peut être utilisé par les enquêteurs en informatique judiciaire, les enseignants et les étudiants pour monter des images forensiques et explorer leur contenu.
VFC Mount est utilisé pour monter une image de disque forensique en tant que disque physique émulé. Une fois monté, le disque émulé est, pour la plupart des usages, indiscernable du disque physique original. Un tel disque peut être examiné, ré-imager ou démarré en tant que machine virtuelle (en utilisant VFC). L'opération de montage est toujours en lecture seule et est donc complètement sûre du point de vue de la procédure forensique. Nous avons optimisé VFC Mount pour une utilisation avec VMware et il inclut plusieurs fonctionnalités pour maximiser la compatibilité et éviter les problèmes de compatibilité courants.
Les formats d'image courants suivants sont pris en charge par VFC Mount :
.e01
.ex01
.aff4
.vmdk
.vhd (since v5.1)
Raw / spanned image e.g. .dd, .img, .bin, .raw, .001 etc.
Virtual floppy image e.g. .vfd and .flp