PTK/Autopsy VS Encase/FTK

[sandor]

Heey,

Zullen de opensource tools zoals autopsy en PTK net zoveel inspraak hebben in een rechtzaak dan Encase/FTK. hierbij bedoel ik dan de bewijsvoering.

Mij lijkt het logisch dat de opensource tools net zoveel recht hebben in een rechtzaak omdat deze ook controlleert of er bewijs is.

Wat is jullie menig hierover??

Groeten,

Sandor

[libris]

Het ligt er maar net aan wat de rechter ervan vind denk ik , als je iets vindt met behulp van autopsy, dan is het nooit verkeerd om extra een keertje met encase of FTK na te kijken, als het dan hetzelfde is is het goed . Dan maakt het voor de rechter al een stuk "betrouwbaarder"..

[sandor]

dat beslist inderdaad de rechter maar eigenlijk betekent PTK/Autopsy hetzelfde als Encas/FTK omdat ze beide bewijzen vergaren om een antwoord te geven op een vraag

[themaster]

Met encase en FTK heb je een betere kans deze tools hebben zich bewezen in meerdere rechtzaken en zijn dus in het rechtssysteem van nederland bekend als betrouwbare tools.
Autopsy bestaat ook al een tijd en zal ook wel enige waarde kennen in het gerechtelijk circuit.

[libris]

ja dat zal wel schelen, maar het is ook van encase en ftk niet bewijzen dat ze echt alles perfect doen, van encase is ooit van een versie wel een onderzoek gedaan door NIST dacht ik, maarja dat is al weer een hele oude versie die waarschijnlijk bijna niet meer gebruikt wordt

toch nooit weg om meerdere tools te gebruiken om toch even na te checken.

[thijs]

Mijn ervaring is (en de verhalen van collega's).

dat bijna ieder stukje software gebruikt mag worden voor een onderzoek.
hier bij moet je kijken naar prop en subs natuurlijk...

een rechter zal wel kijken naar welke tools je gebruikt maar die heeft daar geen verstand van dus vraagt hij een specialist. aangezien zijn FTK Encase Autopsy Photorec Scalpel DCFLDD Sleuthkit vrij bekend zijn in de wereld is het vrij goed aan te nemen dat deze zullen worden toegestaan door de rechtbank. indien een mallware onderzoek gedaan moet worden kan dit andere gevolgen hebben maar ik heb vernomen dat men bijvoorbeeld Wireshark gebruikte dit is toen goed gekeurd en Wireshark is zoals ik het weet niet beoordeeld door het NFI (NFI keurt de software goed voor algemeen forensisch onderzoek). dus dan is daar ook weer in te zien dat een tool niet door NFI hoeft te zijn goed gekeurd gebeurt te mogen worden.

en als je de wat bekendere tools gebruikt zal een controle slag door een aannemer bij de tegenpartij ook snel zeggen dat daar niet snel commentaar over gemaakt hoeft te worden.

al om al is het logisch nadenken en alles zeer goed onderbouwen

[Beforez]

Encase is zo'n bekende tool waardoor het ook een geliefd doelwit is van counterforensics. Zo zitten er in Metasploit bijvoorbeeld functies die Encase tegenwerken. Het is deels met enkele muisklikken te omzeilen.

Ik ga voor PTK.

[themaster]

Alles is te omzeilen ook PTK. Ik ben ook wel meer voor de open-source meuk dan voor closed maar encase is toch wel machtig mooi spul

[libris]

PTK is nog heel erg instabiel, wij hebben hier maanden mee gewerkt en stabiel was het niet en ook heel sloom.. encase/encase FIM is goed mee te werken