VFC, die ursprüngliche Virtualisierungslösung für forensische Ermittler, wurde der forensischen Gemeinschaft erstmals 2007 vorgestellt. Version 4 (VFC4) brachte auf der Grundlage des Feedbacks der Benutzer erhebliche Verbesserungen mit sich und stellt ein verbessertes und leistungsfähigeres VFC dar.

Virtual Forensic Computing (VFC) gilt als unverzichtbares Werkzeug für forensische Ermittler und ermöglicht die nahtlose Rekonstruktion eines digitalen Tatorts unter Verwendung der Originalbeweise. In Verbindung mit VMwares Workstation Player oder Workstation Pro und Virtual Disk Development Kit (VDDK) repliziert VFC den Desktop des Verdächtigen in einer virtuellen Umgebung.

VMware hat sich als das zuverlässigste Virtualisierungstool erwiesen und sorgt für eine reibungslosere Benutzererfahrung. VFC übertrifft die Möglichkeiten von VMware und behebt automatisch Fehler, was den Anwendern stundenlange, komplexe Problemlösungen erspart. Die inhärente Stabilität von VMware trägt weiter zu dieser Effizienz bei.

Für die Strafverfolgungsbehörden besteht keine Notwendigkeit für zusätzliche Anschaffungen, da der VMware Workstation Player für die nicht-kommerzielle Nutzung kostenlos ist. FTK Imager von AccessData, ebenfalls kostenlos erhältlich, dient als einfaches Montagewerkzeug, das Flexibilität bietet, ohne die Ermittler an bestimmte Programme zu binden.

VFC arbeitet nahtlos mit schreibgesperrten physischen Laufwerken, DD-Images im Unix-Stil oder gemounteten forensischen Images. Indem es anerkannten forensischen Praktiken folgt, baut es schnell das VMware-Framework auf und erstellt eine forensische Replik des Zielsystems als virtuelle Maschine (VM). VFC automatisiert den Prozess und behebt gleichzeitig bekannte Probleme, verhindert BSOD und Treiberfehler.

Die resultierende VFC-VM wird in VMware gestartet und ermöglicht es den Anwendern, auf dem Desktop des Verdächtigen zu navigieren, als ob der Rechner physisch eingeschaltet wäre. Die Standardsicherheitseinstellungen deaktivieren Netzwerkverbindungen, um eine sichere Umgebung zu gewährleisten.

VFC bietet nun Funktionen wie das Hinzufügen von Hardware zu einer bestehenden VFC-VM, was die Rekonstruktion von Systemen mit mehreren Laufwerken ermöglicht. Außerdem bietet es die Möglichkeit, einen eigenständigen Klon einer VM für weitere Untersuchungen zu exportieren, ohne die forensische Workstation zu belasten.

Aufbauend auf den Stärken seines Vorgängers, erweitert VFC Version 7 das Toolkit des forensischen Ermittlers weiter. Hier ist eine Aufschlüsselung der wichtigsten Funktionen und Vorteile im Vergleich der beiden Versionen: