Nei laboratori DFLABS abbiamo avuto modo di testare, dopo aver eseguito un lungo e approfondito beta test, la versione 2.0 di FTK di AccessData. Lo strumento e l’azienda non hanno bisogno di presentazioni in quanto largamente conosciuti dagli Examiner di tutto il mondo. La versione 2.0, a lungo attesa da tutti è stata rilasciata da poco ed è totalmente innovativa rispetto alla versione del ramo 1. La prima novità riguarda l’architettura dello strumento di tipo client/server che utilizza la tecnologia Oracle come database. L’examiner ha quindi facoltà di mantenere il database sul sistema locale oppure installarlo su una seconda macchina.remota (più performante). E’ possibile quindi gestire diversi database e collegarsi di volta in volta a quello che contiene il caso in esame. La seconda feature innovativa è il multitasking, ovvero la possibilità di lanciare in background un processo come una keyword search o un recovery dei dati mentre si può navigare nel tree del file system, (sicuramente i più esperti faranno notare che questa feature è presente da anni in EnCase, lo strumento che assieme ad FTK si contende il mercato).
Il supporto dei file system è stato ampliato rispetto alla versione 1.7 così come il supporto per i file nel viewer integrato. Lo strumento può quindi visualizzare direttamente da interfaccia i documenti o alcuni file proprietari come se li stessimo guardando tramite l'applicazione nativa (anche EnCase possiede questa feature ma solo dalla versione 6 mentre FTK ha sempre avuto questa comodissima capacità, rispetto ad EnCase però FTK può mostrare filmati AVI o Mpeg). La gestione dei filtri ha fatto passi da gigante rispetto alla versione 1.7, oltre a essere molto più intuitivi è possibile discriminare i file del caso in base a oltre 150 caratteristiche dei file o del file system. E’ possibile inoltre combinare più filtri con operatori AND e OR in maniera estremamente flessibile.
Infine l’interfaccia, già estremamente “user friendly” sin dalla versione 1.x è migliorata parecchio. Sempre mantenendo una approccio “a tabs” è possbile modificarla a piacimento spostando le finestre e creando così un ambiente di analisi personalizzato. Chi ha a disposizione una scheda video dual monitor e due monitor affiancati potrà apprezzare le capacità di FTK di gestire questo hardware. E' possibile realizzare ulteriori personalizzazioni aggiungendo nuovi tab completamente definibili dall’utente.
Tab di default e configurazione standard:
Tab nuovo definito dall'utente relativo alla gallery senza opzioni di zoom:
Tab di default e configurazione standard:
Tab nuovo definito dall'utente relativo alla gallery senza opzioni di zoom:
Nei prossimi post varranno pubblicati i primi benchmark e alcune features curiose dello strumento.
Nessun commento:
Posta un commento