Jak zwykle opinie co do tego, na jakie nośniki archiwizować materiał, są podzielone. Niektórzy wybierają Blue-ray, bo są stosunkowo pojemne (maks. 50 GB) i dość tanie (ok. 90 gr za GB). Jeżeli są dobrze przechowywane, są również trwałe (szacowany czas życia to ok. 20 lat). Inne laboratoria nie zawracają sobie głowy płytami tylko wykorzystują macierze RAID, bo dyski, z których można je budować, są tanie i łatwo dostępne. Niestety, często też ulegają awariom. Rozrzutni budują macierze SAN jako miejsca przechowywania danych "roboczych" (potrzebnych w obecnie prowadzonych sprawach), a materiały archiwalne wysyłają na taśmy. Poza tym możemy wpaść na pomysł składowania danych na zasobach NAS. Na szczęście w tym przypadku istnieje niepisana zasada, że repozytorium tego typu jest nieodpowiednie - niewielka wydajność, brak odpowiednich mechanizmów bezpieczeństwa, uciążliwość użytkowania. Wreszcie pojawiają się tacy, którzy nie boją się eksperymentów, a przy tym pilnują napiętych budżetów.

Przykładem właśnie takiego podejścia jest pomysł implementacji laboratoryjnej przechowalni w ramach rozproszonego systemu plików OpenAFS (www.openafs.org). Rozwiązanie jest niekonwencjonalne, ponieważ zrywa z tradycyjnym podejściem do serwera plików. Ciekawe jest również to, że serwery poza zadaniami związanymi z OpenAFS mogą pełnić dodatkowe role (por. ramka obok).

Stanowisko pracy

Mając przygotowane miejsce do przechowywania materiałów, możemy przejść do następnego elementu laboratorium - stanowiska pracy śledczego. Tutaj nie będzie żadnych zaskoczeń. W zależności od możliwości finansowych można przygotować więcej niż jedno stanowisko na osobę, zróżnicowane pod względem systemów operacyjnych. Maszyna analityka powinna być mocna, np. być w stanie uruchomić badane nośniki na maszynach wirtualnych, a więc przynajmniej 8 GB RAM, 1 lub 2 TB (np. w RAID 6), procesor QuadCore. Ponieważ z pewnością będziemy mieli do czynienia z materiałem zaszyfrowanym w jakiś sposób, dobrze nasze stanowisko wyposażyć w kartę graficzną, której możemy użyć jako akceleratora zwiększającego sprawność odzyskiwania haseł (np. nVidia GeForce 9800 GX2). Przy tej okazji warto wspomnieć, że już na tym etapie należy zacząć myśleć o zbudowaniu nawet niewielkiej, tj. 2-3 stanowiskowej farmy odzyskiwania haseł. Za jej pomocą możemy generować tęczowe tablice lub skorzystać z narzędzi, takich jak ElcomSoft Distributed Password Recovery (za ok. 600 euro w wersji do 20 stanowisk).

Potrzebne będzie także specjalistyczne oprogramowanie do wykonywania analiz. Utarło się, że takim klasycznym narzędziem jest EnCase (guidancesoftware.com), który pozwala na prowadzenie pełnego spektrum prac. Jest przy tym dość elastyczny, dzięki możliwości pisania własnych skryptów realizujących określone zadania - tzw. EnScript (wiele skryptów jest udostępnianych na blogach poświęconych computer forensics). Ale są też inne produkty komercyjne, np. ForensicToolkit (tzw. FTK - www.accessdata.com), X-Ways Forensics (www.x-ways.net) czy ProDiscover (www.techpathways.com). Ten ostatni dostępny jest również w okrojonej, bezpłatnej wersji Basic. Do tego dochodzi całe spektrum narzędzi darmowych. Warto wspomnieć o trzech ciekawych projektach. Pierwszy to już prawdziwy weteran, czyli zestaw narzędzi do analizy systemów plików - Sleuthkit (www.sleuthkit.org). Jest on obsługiwany domyślnie z poziomu linii komend i może operować na stworzonych różnymi narzędziami (np. dd, EnCase) obrazach nośników. Sleuthkit pozwoli wyszukać usunięte pliki, interesujące nas treści (także ukryte np. w ADS - Alternate Data Streams), odtworzyć przebieg zdarzeń w czasie, odrzucić potencjalnie nieciekawe pliki (np. pliki systemowe) dzięki możliwości odwołania się do baz danych funkcji skrótu, np. NSRL. Jego wadą jest konieczność "klepania" czasem skomplikowanych poleceń z CLI. Dlatego też powstało co najmniej kilka graficznych przybudówek. Dwie najbardziej popularne to Autopsy (www.sleuthkit.org) oraz PyFLAG (pyflag.sourceforge.net). Obie są nie tylko nakładkami graficznymi, ale mają funkcje systemu zarządzania sprawą (case management). Pojawiła się także nakładka PTK Forensics (ptk.dflabs.com), która występuje zarówno w odmianie płatnej, jak i bezpłatnej. Wersja płatna pozwala np. na zautomatyzowany carving plików określonego typu.