Wenn Sie mehr Informationen sammeln wollen, enthält das Paket tct (The Coroner's Toolkit von Dan Farmer und Wietse Venema) Werkzeuge für eine post mortem-Analyse des Systems. tct erlaubt es dem Benutzer, Informationen über gelöschte Dateien, laufende Prozesse und mehr zu sammeln. Sehen Sie für weitere Informationen in die mitgelieferte Dokumentation. Diese und andere Werkzeuge können auch auf http://www.sleuthkit.org/ von Brian Carrier, welches ein Web-Frontend zur forensischen Analyse von Disk-Images zur Verfügung stellt, gefunden werden. In Debian befindet sich sowohl sleuthkit (die Werkzeuge) und autopsy (die grafische Oberfläche).

Forensische Analysen sollten immer auf einer Sicherheitskopie der Daten angewendet werden, niemals auf die Daten selbst, da sie durch diese Analyse beeinflusst werden könnten und so Beweismittel zerstört werden würden.

Weiterführende Informationen über forensische Analyse können Sie in Dan Farmers und Wietse Venemas Buch http://www.porcupine.org/forensics/forensic-discovery/ (online verfügbar), in ihrer http://www.porcupine.org/forensics/column.html und in ihrem http://www.porcupine.org/forensics/handouts.html finden. Eine weitere sehr gute Quelle für Tipps zur forensischen Analyse ist Brian Carriers Newsletter http://www.sleuthkit.org/informer/index.php. Auch die http://www.honeynet.org/misc/chall.html sind eine ausgezeichnete Möglichkeit, Ihre forensischen Fähigkeiten zu verbessern, da sie echte Angriffe auf Honigtopfsysteme umfassen und Herausforderungen bieten, die von der forensischen Analyse von Festplatten bis zu Protokollen der Firewall und Paketerfassung alles beinhalten.

FIXME: This paragraph will hopefully provide more information about forensics in a Debian system in the coming future.

FIXME: Talk on how to do a debsums on a stable system with the MD5sums on CD and with the recovered file system restored on a separate partition.

FIXME: Add pointers to forensic analysis papers (like the Honeynet's reverse challenge or http://staff.washington.edu/dittrich/).