Hace un par de semanas pude probar este software forense.
Me llamó mucho la atención ya que una de las preguntas recurrentes que me hacen tiene que ver con la generación de una imagen forense en vivo.
Muchas de las veces recomiendo en el caso de que la máquina que no puede ser apagada sea Linux o Windows, el hacer uso de HELIX como herramienta para poder generar una imagen forense de los medios del equipo.
Si bien HELIX es una herramienta muy interesante que permite realizar imágenes forenses de memoria así como de discos duros; es necesario aprender cómo usarla y posteriormente ver por qué medio será almacenada (USB, red, netcat, etc.)
Me llamó la atención esta herramienta – F-Response -, ya que permite usar cualquier herramienta para generar una imagen forense que estamos acostumbrados en Windows (X-Ways, FTK Imager, EnCase, etc) al montar en sólo lectura el dispositivo remoto en la máquina que se quiere hacer el cómputo forense en vivo. Cabe mencionar que esta herramienta permite hacer imagenes forenses sólo de los discos duros de prácticamente cualquier sistema operativo!
Simplemente imagine que al correr el programa en la máquina evidencia, coloca un USB con el software, coloca la IP de la estación forense y desde la estación forense se monta un disco físico que usted puede analizar o generar una imagen forense.
Muy bien por la gente de F-Response!
Haré más pruebas y les diré mis resultados.