Postbus 872
3900 AW
Veenendaal / NL
T +31 (0)318 543173
F +31 (0)318 541937
E info [at] dataexpert [dot] nl
Triage Examiner
Triage-Examiner®
Een bewezen triageoplossing voor een enorme tijdbesparing
Forensische onderzoeken kosten veel tijd en hoe meer computers toegevoegd worden aan het onderzoek, des te meer achterstand er ontstaat. Triage-Examiner helpt bij het filteren en kwalificeren van zaken voorafgaand aan een volledig forensisch onderzoek. De tool is voor elke forensische onderzoeker een bijna onmisbare aanvulling geworden op andere forensische programma’s.
Betrouwbaar computers uit de achterstanden verwijderen
Triage-Examiner is een mobiel forensisch instrument dat door onderzoekers rechtstreeks op verdachte computers kan worden uitgevoerd. De Triage-software kan negatieve computers identificeren en elimineren, met dezelfde betrouwbaarheid als een volledige forensisch onderzoek. Aangezien bijna drie van de vier computers negatief zijn, kan Triage-Examiner 70% van de te onderzoeken computers uitsluiten in een fractie van de tijd en met minder hulpbronnen.
Grafische weergave
Triage binnenkomende computers verwijderd (70%)
Uitgebreid forensisch onderzoek (30%)
Triage-Examiner: geautomatiseerd proces via USB
Triage-Examiner software draait op een Triage Key (een USB flash drive of een USB harde schijf) en vereist geen dure computers of andere hardwarecomponenten. Deze softwaretool is compleet geautomatiseerd en draait rechtstreeks op een verdachte computer. Triage-Examiner gebruikt de computer als weergavestation en laat alle gegevens onvertraagd zien.
Belangrijke gebruikersvoordelen:
• identificeert gemakkelijk negatieve computers
• voorziet in hoogste niveaus van vertrouwelijkheid
• geautomatiseerd en forensisch deugdelijk proces
• Bypass imaging en indexatieproces
• Vermindert het aantal benodigde forensische licenties
• Draai meerdere triagescans parallel op één licentiecode
• Mogelijkheid om triageresultaten naar andere programma’s te exporteren
• Gemakkelijk te leren
Optimaal achterhalen van bewijsmateriaal, krachtige zoekcapaciteiten
Triage-Examiner is speciaal ontworpen om bewijsmateriaal te verzamelen. De software biedt zoekmogelijkheden die de capaciteiten van gewone forensische pakketten ver te boven gaan. Configureerbare file carving, volledige analyse van de aanwezige vrije schijfruimte, geavanceerde beeldanalysetechnologie met een bewezen trackrecord voor identificatie van onzedelijk beeldmateriaal inclusief onbekend, gewijzigd en verwijderd beeldmateriaal: Triage-Examiner biedt het allemaal.
Triage-Examiner in het gebruik
Voorafgaand aan het maken van een triagescan wordt een zoekprofiel opgesteld dat aangeeft welke informatie en welk bewijsmateriaal verzameld moet worden op verdachte computers. Na uitvoering van de scan met Triage Key worden de scanresultaten verwerkt in een rapport. De rapportage kan later bekeken worden op een forensische computer en geëxporteerd naar andere programma’s.
Triage-Examiner bevat definities van configureerbare bestandsnamen voor het verzamelen van bestanden en file carving op vrije schijfruimte. Door deze belangrijke nieuwe functies zijn de triageresultaten zeer betrouwbaar.
Geavanceerde beeldanalyse
Triage-Examiner bevat geavanceerde technologie voor beeldvergelijking die van onschatbare waarde gebleken is voor het identificeren en filteren van hoogstwaarschijnlijk onzedelijk beeldmateriaal, inclusief de beelden die al verwijderd waren of gevonden werden in Thumbs.db bestanden.
Zoekprofielen, CapturePaks™ en SearchPaks®
Een Zoekprofiel bevat:
• CapturePaks™: direct aansluitbare softwarebibliotheken die specifieke informatie uit een verdachte computer verzamelen en analyseren. ADF Solutions brengt regelmatig nieuwe CapturePaks uit die u gratis kunt downloaden
• SearchPaks®: configureerbare containers die definiëren welk bewijsmateriaal gezocht moet worden en waar dit gevonden zou kunnen worden op de doelcomputer. SearchPaks zijn versleuteld en kunnen veilig verspreid worden onder andere onderzoekers zowel binnen als buiten de organisatie
• Beveiligingsinstellingen en beveiligde gebruikerstoegang om risico’s te beperken
CapturePaks™ bevatten onder andere:
• Geïnstalleerde applicaties
• Geschiedenis van gekoppelde apparatuur
• Algemene systeem-, netwerk- en gebruikersprofielinformatie
• Internet browserhistorie, zoekhistorie en cookies
• Chatlogs
• Status van schijfstationversleuteling
• Google Maps-sporen
• Wachtwoordinformatie
• Windows encryptiesleutel (live)
• Dynamisch geheugen
• Screenshots van alle applicaties (live)
• Clipboard (live)
SearchPak® kenmerken:
• Bestanden verzamelen
• Keywords
• Regelmatig terugkerende uitdrukkingen
• Hash-waarden
• Beeldhandtekeningen
• Import hash en lijsten met keywords
De forensische Triagegemeenschap deelt krachtige SearchPaks met elkaar die aangemaakt zijn door vooraanstaande instanties. Deze SearchPaks omvatten onder andere:
• detectie van onzedelijk beeldmateriaal
• detectie van onzedelijke keywords
• verzameling van registratiegegevens
• detectie van antiforensische applicaties
• detectie van versleutelingapplicaties
Key Search kenmerken:
• Volledige analyse van vrije schijfruimte en slack space (vrije ruimte)
• E-mailanalyse (.pst, .ost)
• Configureerbare definitie van bestandsnamen
• Volledige Unicodeondersteuning
• Doelgebieden van recente activiteiten op verdachte computers
• Doelscan naar specifieke bestanden en exacte locaties voor snellere scans
Ondersteunde apparatuur en systemen:
• Live Scan van 32 bit en 64 bit versies van Windows XP, Vista 7, Server 2003 en Server 2008.
• Boot scan van 32 bit en 64-bit Intel compatible computers (Windows, Linux en Macintosh)
• FAT, NTFS, EXT2, EXT3, HFS en HFS+ bestandsystemen
• Uitneembare media (USB en FireWire harde schijven, geheugenkaarten etc.)
Triage-Examiner® kit
De Triage Kit zit in een duurzame draagtas en bestaat uit:
• 8 GB Hi-speed USB flash drive (Triage-Key)
• USB-licentie (Activeringscode)
• Triage-Examiner opstart&installatie-cd
• USB-verlengkabel
• Apparaatje om cd- en dvd-stations te openen
• Zaklantaarn
