6.1 Cosa è un Coroner?

Un coroner è un avvocato (o un medico in alcuni casi) che agisce da ufficiale giudiziario. Il suo lavoro consiste nell'indagare sui casi di morte che gli vengono segnalati. Questo implica lo scoprire la causa medica del decesso, se sconosciuta, e svolgere un’inchiesta se questo è dovuto a cause violente o innaturali. Tale inchiesta non viene eseguita specificatamente per un eventuale processo ma solo per accertarsi dell’identità del defunto e delle circostanze del decesso.
 

6.2 Versione Attuale

La versione attuale del Coroner Toolkit (1.15) ha corretto alcuni bug delle versioni precedenti e ha introdotto alcuni cambiamenti nell'interfaccia e nella logica del programma, quali ad esempio:

• E' stato introdotto il supporto per inode di tipo ext[23]fts maggiori di 32 bit.
• Sono state implementate un gran numero di opzioni che permettono al Grave-Robber di interfacciarsi direttamente con la suite di applicazioni (ad esempio l'opzione -I che permette il controllo di ICAT e PCAT).
• Gli output di tutte le applicazioni sono stati resi più comprensibili con l'introduzione di opzioni che forniscono output più dettagliati (nello specifico l'opzione -V di ICAT, ILS e URNM).
• Numerosi bug con di funzionamento con vari sistemi operativi sono stati corretti, in particolare nel caso di FreeBSD, OpenBSD, SunOS e Solaris.
• Sono stati corretti alcuni bug riguardanti piccoli errori di datazione in MacTime e Lazarus.

Le prossime versioni introdurranno alcune modifiche più significative:

• La suite di applicazioni verrà divisa in due parti: l'una adibita al recupero dei dati, l'altra all'analisi del sistema.
• Si cercherà di ridurre ulteriormente il pericolo di alterazione dei dati permettendo il montaggio su Cd-Rom delle unità da esaminare.
• Si utilizzeranno librerie precompilate per tutti i sistemi supportati.
• Si introdurrà il Timeline Tool, che permetterà di organizzare i dati raccolti da tutte le applicazione del Coroner Toolkit per costruire una tabella temporale delle operazioni eseguite sul sistema.
• Si cercherà di realizzare il Fuck Tool, un programma che registra tutte le operazioni eseguite sul sistema dal momento della sua installazione.

6.3 Altri Tools utilizzabili con TCT

Autopsy Forensics Browser: Questo pacchetto di software è stato ideato come front-end del Coroner Toolkit. Permette di analizzare le immagini dei drive a livello di file, di blocchi e di inode. Può essere reperito su: http://www.digital-evidence.org/.

TCTUtils: Questo pacchetto aggiunge ulteriori funzionalità al Coroner Toolkit. Fornisce più informazioni sugli inode e sui mactimes dei file cancellati, permette di esaminare il contenuto di un dato blocco in varie forme, e può calcolare il numero originario di un blocco a partire dal materiale recuperato da unrm. Anch'esso è reperibile su http://www.digital-evidence.org/.

dd: E' un applicazione per Linux, utilizzata per copiare file o interi filesystem. E' molto utile quando usata in combinazione con unrm. Viene fornita in bundle con Linux o può essere reperita su http://www.redhat.com.

PGP e varianti: I creatori del TCT raccomandano, una volta eseguita la raccolta dei dati, di crittografare tutto il materiale ottenuto. PGP può fornire questa funzionalità. E' reperibile presso http://www.gnupg.org/ (per Unix e Windows), o presso http://www.pgp.com (per Windows).