F-Response 是一个在线取证工具，可以用于通过局域网络获取在线状态下的数据，不会使原始数据发生改变。最近，F-Response最新发布了TACTICAL版本。

同以往的版本不同，F-response最新发布的TACTICAL 带有两个软件狗。这些狗都是成对提供的。每个狗上都清晰地标记着"调查员专用 Examiner"和“嫌疑机专用 Subject”，以便区分在不同的计算机上插入。

当进行调查时，需要将“嫌疑机专用”狗插入需要检查的计算机usb接口中。“调查员专用”狗需要插入调查员使用的分析计算机中。嫌疑机专用狗目前可以在Windows (包括Windows 7), OS X, 和 Linux系统下运行。调查员专用狗仅支持Windows系统。.

软件

对嫌疑计算机的处理与原来的FK版本有些相似。

FK版本需要在嫌疑计算机中插入软件狗，查找该机的IP地址，并在联网的调查员计算机中输入得到的IP地址，同时输入用户名和口令以继续连接。

而使用TACTICAL，可以将“嫌疑机专用”狗插入局域网中的任何一台需要调查的计算机中，运行软件。

软件会通过网络发送一个"信号", 当你在调查员计算机中插入“调查员专用”狗，运行软件，点击“自动连接”，调查员计算机会自动发现“信号”并与“嫌疑计算机”自动连接。无需输入用户名和密码进行校验。

当嫌疑计算机与调查员计算机之间的连接被成功建立，调查员可以看到嫌疑计算机中所包含的存储设备列表。这包括内置硬盘、RAID阵列，外接的usb存储设备等。

F-Response 嫌疑机专用狗也同时被列在存储设备列表中。这可以防止在调查中因疏忽造成差错。需要连接或加载磁盘/卷，用户仅需右键点击相应的磁盘选择Login to F-Response Disk即可。

连接成功后，调查员可以随意使用各自熟悉使用的工具进行分析。笔者测试了 X-Ways, EnCase, FTK Imager等工具, 每种工具都能够象分析本地硬盘一样地分析远程嫌疑计算机中的硬盘。

这个版本的推出，使在线取证变得更加简单了。过去的FK版本使用相对比较繁琐，需要连接、设置，并输入用户名、口令用于验证。现在，仅需插入软件狗，分别运行客户端、服务端软件，即可成功加载远程存储设备，非常简便。