Drugim bardzo znanym projektem jest SIFT Workstation (obecnie wersja 2.0), opracowany przez SANS (www.sans.org). Jest to oparta na Ubuntu maszyna wirtualna z kompletem open source‘owego oprogramowania potrzebnego do prowadzenia analizy. W wielu laboratoriach CF istnieje zasada czyszczenia stacji analityka po przeprowadzeniu dochodzenia. Mając SIFT Workstation, jej realizacja jest prosta. Wystarczy odtworzyć "snapshot". Poznanie wszystkich możliwości SIFT Workstation to prawdziwe wyzwanie - do dyspozycji jest ponad 150 narzędzi.

I wreszcie nieźle zapowiadającym się projektem jest Digital Forensics Framework. Jest to całkiem nowe narzędzie do prowadzenia elektronicznego śledztwa. Na razie jego możliwości są dość skromne - za jego pomocą możemy m.in.: wyszukiwać i odzyskiwać usunięte pliki, rekonstruować system plików telefonów komórkowych, dekodować SMS-y (wyświetlać je w taki sposób, jak widoczne są na ekranie telefonu), wyszukiwać słowa kluczowe i ciągi znaków. Autorzy położyli jednak duży nacisk na łatwe rozszerzanie platformy, udostępniając API. Czas pokaże, czy DFF zyska sympatię.

Jeżeli zamierzamy analizować urządzenia mobilne, to dobrze będzie wyposażyć się w dodatkowe narzędzia do tego celu. Czasami będą one wykorzystywane już na etapie zabezpieczenia poza laboratorium. W większości przypadków jednak urządzenia mobilne trafiają od razu do laboratorium, gdzie prowadzone jest właściwe zabezpieczenie i analiza. Najbardziej znanymi produktami komercyjnymi są XRY z rozszerzeniem do akwizycji danych XACT (www.msab.com), Device Seizure (www.paraben-forensics.com) oraz Cellebrite UFED (www.cellebrite.com). Z tym, że ten ostatni jest bardziej narzędziem akwizycyjnym niż analitycznym, chociaż w wersji Physical Pro zawiera także odpowiednie oprogramowanie analityczne. Są też tańsze produkty dla mniej zasobnych, np. Oxygen Forensic Suite 2 (www.opm-2.com) czy MOBILedit! Forensic (www.mobiledit.com). W zakresie analizy telefonów komórkowych znacznie trudniej o produkty open source. Przykładem takiego narzędzia jest TULP2G (tulp2g.sourceforge.net). Ale to oczywiście nie koniec. Z pewnością będziemy potrzebowali całej gamy niewielkich narzędzi, które będą realizować konkretne zadania. Lista jest ogromna i nie ma sensu ich wszystkich wymieniać. O większości z nich można przeczytać w serwisie www.opensourceforensics.org.

Poza stanowiskiem analityka konieczne będzie zbudowanie tzw. walizki kryminalistycznej, która wykorzystywana będzie podczas działań poza laboratorium, a więc przede wszystkim do zabezpieczania materiału dowodowego.

Zabezpieczanie materiału dowodowego

I tutaj sprawa się komplikuje. Mamy bardzo dużo możliwości, a co się z tym wiąże - decyzji do podjęcia. Wszystko zależy od tego, z jakim materiałem dowodowym będziemy mieli do czynienia. Czy będziemy specjalizować się np. w analizie telefonów komórkowych, czy też działać w pełnym zakresie computer forensics? Jeżeli w grę wchodzi ta druga możliwość, to musimy przygotować się do zabezpieczania:

komputerów/laptopów pracujących (live forensics);

nośników (różne interfejsy SATA, SCSI, IDE, USB (micro, mini itp.). Należy wziąć także pod uwagę konieczność zabezpieczenia macierzy dyskowych (np. RAID);

telefonów komórkowych;

PDA;

urządzeń wbudowanych (embedded systems), np. odtwarzacze multimedialne, GPS-y, routery.