Degli strumenti open source computer forensi sono spesso preferiti rispetto alle alternative commerciali perché i loro metodi sono meglio documentati e i risultati più facilmente duplicati. Questo è perché programmi open-source forniscono agli utenti l'accesso ai commenti di programmatore e codice sorgente originali. Quando computer forensics prova viene utilizzata in tribunale, è meglio se gli strumenti utilizzati nella sua scoperta possono essere esaminati e spiegati alla Corte. Closed source alternative non forniscono questa possibilità proprio perché il loro codice sorgente è la proprietà privata della impresa commerciale che vende il software.
Utilità di acquisizione forense
Utilità di acquisizione forense aiuta ad aprirsi a un disco rigido.
Piuttosto che contenente un singolo programma, utilità di acquisizione forense è una raccolta di computer forensics strumenti che sono stati raggruppati da George Garner. Questi programmi possono aiutare l'esaminatore di computer forensics nella raccolta delle prove da un sistema di computer di Windows in esecuzione. Il pacchetto include strumenti per pulire i supporti di memorizzazione per duplicazione forense, individuare e identificare i volumi logici e garantire l'integrità dei dati con un checksum crittografico. Mentre lo ridurre al minimo le modifiche al set di dati originale, questo pacchetto non impedisce tutte le modifiche.
TestDisk
TestDisk aiuta a recuperare le informazioni cancellate.
TestDisk è un programma di recupero di dati facile da usare, potente, open source. Esso viene utilizzato per recuperare dati persi a causa di software difettoso, alcuni virus e l'intervento umano sia intenzionale o accidentale. Usando TestDisk, un esaminatore di computer forensics può recuperare i dati da una qualsiasi delle partizioni del disco più comuni. Queste partizioni potrebbero sono state danneggiate o eliminate da un programma difettoso o virus. Un'altra possibilità è che le partizioni potrebbero essere state eliminate da parte dell'utente di computer, accidentalmente o intenzionalmente per nascondere le prove.
LiveView
Utilizzando LiveView posti l'esaminatore di computer forensics destra alla tastiera del sistema sospetto.
Utilizzando TestDisk sarà recuperare i dati persi e le utilità di acquisizione forense può copiare i dati in un altro disco, ma l'esaminatore di computer forensics avrà bisogno LiveView per accedere e analizzare le prove. LiveView consente l'esaminatore convertire l'immagine disco raw in un formato che può essere utilizzato da una macchina virtuale VMware. L'esaminatore di computer forensics può quindi "avviare" l'immagine come se si trovasse proprio alla tastiera del computer da che è stato preso. Una volta fatto questo, egli sarà in grado di guardarsi intorno il sistema e ricerca per i file che ha bisogno per costruire il suo caso.