Релиз CAINE 9.0, дистрибутива для выявления скрытых данных

26.10.2017 07:37

Увидел свет релиз CAINE 9.0 (Computer Aided INvestigative Environment), специализированного Live-дистрибутива, предназначенного для проведения криминалистического анализа, поиска скрытых и удалённых данных на дисках и выявления остаточной информации для восстановления картины взлома системы. Дистрибутив основан на Ubuntu и оснащён единым графическим интерфейсом на базе оболочки MATE для управления набором разноплановых утилит по исследованию Unix и Windows систем. Размер загрузочного iso-образа 2.7 Гб (x86_64).

В состав входят такие средства, как GtkHash, Air (Automated Image & Restore), SSdeep, HDSentinel (Hard Disk Sentinel), Bulk Extractor, Fiwalk, ByteInvestigator, Autopsy, Foremost, Scalpel, Sleuthkit, Guymager, DC3DD. Также стоит отметить специально разработанную в рамках проекта систему WinTaylor для досконального анализа Windows-систем и генерации подробных отчётов о всех зафиксированных аномалиях. В состав также входит подборка вспомогательных скриптов для файлового менеджера Caja (форк Nautilus), которые позволяют выполнить широкий спектр проверок дискового раздела или директории, а также посмотреть список удалённых файлов и разобрать структурированный контент, такой как история посещений браузера, реестр Windows, изображения с метаданными EXIF.

Выпуск построен на пакетной базе Ubuntu 16.04, поставляется с ядром Linux 4.4 и поддерживает возможность загрузки Live-образа в оперативную память. По сравнению с прошлым выпуском в состав включены пакеты RegRipper, VolDiff, SafeCopy, PFF tools, pslistutil, mouseemu, NBTempoX,Osint: Infoga, The Harvester, Tinfoleak regfmount и libregf-utils. По умолчанию отключен сервер SSH.

исправить +8 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/47450-caine

Ключевые слова: caine

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (30)

1.1, Аноним (-), 08:07, 26/10/2017 [ответить] [﹢﹢﹢] [ · · · ]	+7 +/–
это для гебни чтоли дистр?

2.2, Ванонимус (?), 09:24, 26/10/2017 [^] [^^] [^^^] [ответить]	+10 +/–
Взял вас на карандаш.

3.6, Товарищ маойр (?), 10:14, 26/10/2017 [^] [^^] [^^^] [ответить]	+2 +/–
Дистрибутив для товарища майора.

1.3, smbman (?), 09:37, 26/10/2017 [ответить] [﹢﹢﹢] [ · · · ]	+8 +/–
Надо было назвать Павликом, а не Каином

2.13, Аноним (-), 18:33, 26/10/2017 [^] [^^] [^^^] [ответить]	+1 +/–
Это Кейн из сериала, а ее Каин из библии. Ваш Кэп.

3.30, anomymous (?), 14:15, 29/10/2017 [^] [^^] [^^^] [ответить]	+/–
Каин больше подходит по сути

1.4, Аноним (-), 09:50, 26/10/2017 [ответить] [﹢﹢﹢] [ · · · ]	+/–
нескучные обои!

1.5, Аноним (-), 10:08, 26/10/2017 [ответить] [﹢﹢﹢] [ · · · ]	+5 +/–
Отличный дистрибутив! Нашёл две скрытых копии systemd и старый swap от винды.

2.21, Аноним (-), 07:12, 28/10/2017 [^] [^^] [^^^] [ответить]	+/–
> скрытых копии systemd А я говорил, что Лёна на КГБ работает!

1.10, Аноним (-), 12:39, 26/10/2017 [ответить] [﹢﹢﹢] [ · · · ]

+2 +/–

> В состав входят (http://www.caine-live.net/page11/page11.html) такие средства, как
> GtkHash (http://gtkhash.sourceforge.net/)

для неосиляторов *sum

> Air (http://air-imager.sourceforge.net/)

page not found

> SSdeep (http://ssdeep.sourceforge.net/)

Интересная штука, но не понял, как она может помочь в "выявлении скрытых данных".

> HDSentinel (http://www.hdsentinel.com/) (Hard Disk Sentinel)

проприета

> Bulk Extractor

что за зверь?

> Fiwalk (http://domex.nps.edu/deep/Fiwalk.html)

Принудительный HTTPS, сертификат выдан недоверенным УЦ.

> ByteInvestigator (http://sourceforge.net/projects/byteinvestigato/)

Какие-то перлоскрипты для потрошения винды.

> Automated Image & Restore (AIR (http://air-imager.sourceforge.net/))

Ещё раз для тех, кто в танке? По-прежнему page not found.

Дальше не смотрел.

2.14, Анотоним (?), 22:40, 26/10/2017 [^] [^^] [^^^] [ответить]

+/–

http://air-imager.sourceforge.net/
AIR - Automated Image and Restore
Last Update: 2013-04-26

свежак!

http://sourceforge.net/projects/byteinvestigato/
Byte Investigator
Last Update: 2015-04-26

еще свежак!

>> Fiwalk (http://domex.nps.edu/deep/Fiwalk.html)
>Принудительный HTTPS, сертификат выдан недоверенным УЦ.

Да ладно тебе! Отличные парни выпустили сертификат!

OU = DoD
O = U.S. Government
C = US
[1]центр сертификации
URL=http://crl.disa.mil/sign/DODIDSWCA_37.cer

2.15, Аноним (-), 23:19, 26/10/2017 [^] [^^] [^^^] [ответить]

+1 +/–

>SSdeep

перцептивный хеш, полезен для поиска полиморфной малвари

>HDSentinel

проприетарная утилита для смарт-мониторинга. Чем smartmontools не угодил - не ясно.

2.22, Аноним (-), 07:19, 28/10/2017 [^] [^^] [^^^] [ответить]

+/–

> Fiwalk
> nps.edu
> edu

Студентота пишет, судя по всему.

https://github.com/sleuthkit/sleuthkit/tree/master/tools/fiwalk

> Bulk Extractor

https://github.com/simsong/bulk_extractor/wiki
> program that scans a disk image, a file, or a directory of files and extracts useful information without parsing the file system or file system structures.

Не очень понял зачем это нужно.

1.11, Аноним (-), 14:46, 26/10/2017 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Не работает полностью sourceforge.net, а не конкретные проекты.

1.12, Аноним (-), 14:51, 26/10/2017 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Хотя в Tor Browser все работает. Либо у конкретных провайдеров проблемы, либо в России.

2.17, Аноним (-), 23:21, 26/10/2017 [^] [^^] [^^^] [ответить]

+/–

> Хотя в Tor Browser все работает.

пока 1е ноября не наступило - да, работает

>Либо у конкретных провайдеров проблемы, либо в России.

И то, и другое. Думаешь провайдеры рады законы Яровой выполнять, за свой счёт подсостему цензуры содержать и уровень своего сервиса занижать?

1.16, Michael Shigorin (ok), 23:20, 26/10/2017 [ответить] [﹢﹢﹢] [ · · · ]	–11 +/–
> Выпуск построен на пакетной базе Ubuntu 16.04 Они там хоть http://forensicswiki.org/wiki/Forensic_Live_CD_issues починили или всё по-брежнему и нормально сделано едва ли не только в http://altlinux.org/rescue? А то ведь можно разложить таких "мин" по носителям, сующим нос в которые охота нос прищемить, и вместо stage2 иных таких вот тулзов, включая платные, будет загружен и выполнен произвольный код хозяина данных.

2.18, Аноним (-), 03:24, 27/10/2017 [^] [^^] [^^^] [ответить]	+10 +/–
Когда ты уже научишься подавать свой рекламный спам красиво?

3.24, annual slayer (?), 18:34, 28/10/2017 [^] [^^] [^^^] [ответить]	–5 +/–
подача подачей, а вопрос то по существу

3.32, Аноним (-), 17:33, 30/10/2017 [^] [^^] [^^^] [ответить]	+/–
Совковые мозги способны порождать только уродство и уныние

1.19, 0x0 (?), 04:46, 27/10/2017 [ответить] [﹢﹢﹢] [ · · · ]	–2 +/–
Руки тянутся сразу опробовать и сдерживает только мысль что для начала не мешало бы как-то удостовериться, не оставит ли сам этот live чего-нибудь после проверки :)

2.23, Аноним (-), 16:28, 28/10/2017 [^] [^^] [^^^] [ответить]	+1 +/–
обычно работают с копией данных на виртуальном железе, простые ребята вообще такой объём тянуть не будут

3.25, 0x0 (?), 09:36, 29/10/2017 [^] [^^] [^^^] [ответить]	–1 +/–
Логично :)

3.26, 0x0 (?), 09:42, 29/10/2017 [^] [^^] [^^^] [ответить]	–1 +/–
Интересно было бы ещё узнать, как работают с анализом данных, от результатов которых могут быть те или иные юридические последствия, а потом ещё и дают возможность судьям/присяжным удостовериться в том, что действительно не было никаких манипуляций :))

4.27, 0x0 (?), 09:49, 29/10/2017 [^] [^^] [^^^] [ответить]	–1 +/–
И удостовериться также, что сами проанализированные данные остались в том же виде, какими были на момент их изъятия :)))

5.28, 0x0 (?), 10:23, 29/10/2017 [^] [^^] [^^^] [ответить]	–1 +/–
А то как-то всё оно у всех нас теперь выглядит так подозрительно, ну, типа: "Баба Маня сказала, а не доверять бабе Мане у нас нет оснований даже полагать" ))

6.33, Аноним (-), 17:40, 30/10/2017 [^] [^^] [^^^] [ответить]	+/–
анализ сможет заметить паттерны фальсификации, достоверные участки массива, взаимосвязи hex-наборов при глубокой обработке, просто это надо выгуглить и перевести транслэйтом

5.31, Аноним (-), 08:48, 30/10/2017 [^] [^^] [^^^] [ответить]	+/–
в зависимости от хода расследования устройство может вообще не фигурировать в процессе, в любом случае носитель должен извлекаться до подачи питания, ятд

4.29, 0x0 (?), 10:35, 29/10/2017 [^] [^^] [^^^] [ответить]	–1 +/–
Чтобы стало ещё более понятно, о чём это я: наверное, было бы забавно, если бы доказательства всех жутких преступлений Чикатило представили перед Высоким Судом в шестнадцатиричном представлении :)))

1.20, Шкурка_от_головки (ok), 11:12, 27/10/2017 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Да неужели! Будет чем восстанавливать данные

игнорирование участников | лог модерирования

Добавить комментарий

Текст: