Mitunter sehen einige Mitmenschen die Computer Forensik als eine modernere Form der schwarzen Magie, die vermeintlich vernichtete Daten wiederherstellt und entschlüsselt.

Forensik mit Linuxanwendungen

Linux unterstützt schon von Haus aus eine sehr große Zahl von Dateisystemen. Der Einsatz von Loopback Devices, das Um- und Weiterleiten von Standard Input und Output sowie die Möglichkeit, Prozesse und Kommandos zu überwachen und zu protokollieren, sind weitere Pluspunkte.

Da die nach einem IT-Sicherheitsvorfall zu untersuchenden Systeme sowie deren Betriebssysteme in der Regel nicht mehr vertrauenswürdig sind - Systemkomponenten könnten ausgetauscht oder manipuliert worden sein -, sollten diese nicht für eine forensische Untersuchung benutzt werden. Linux kann auch in diesem Bereich glänzen, da es relativ einfach möglich ist, bootfähige Medien mit integrierten, statisch gelinkten Tool-Sets zu erstellen. Viele Tools beinhalten Datenrettung und Datenanalysetools.

Eine Übersicht über alle derzeit öffentlich verfügbaren Linux-Live-CDs werden hier dargestellt.

Anwendungen einiger bootfähiger Medien

  • KNOPPIX
  • Kali Linux
  • F.I.R.E Forensic
  • Helix
  • The Penguin
  • Trinux
  • PHLAK
  • Local Area
  • INSERT
  • FCCU
  • Farmer’s