LINUX.ORG.RU

CAINE 11.0 — дистрибутив для криминалистического анализа и поиска скрытой информации


6

1

Выпущен специализированный Linux-дистрибутив CAINE 11.0, который предназначен для проведения криминалистического анализа и поиска скрытой информации. Эта Live-сборка основана на Ubuntu 18.04, поддерживает UEFI Secure Boot и поставляется с ядром Linux 5.0.

Дистрибутив позволяет анализировать остаточную информацию после взлома на системах Unix и Windows. В комплекте идёт большое количество утилит для работы. Отдельно отметим специализированный инструмент WinTaylor для анализа ОС из Редмонда. Из других утилит можно упомянуть GtkHash, Air, SSdeep, HDSentinel, Bulk Extractor, Fiwalk, ByteInvestigator, Autopsy, Foremost, Scalpel, Sleuthkit, Guymager, DC3DD, а также скрипты к файловому менеджеру Caja, которые позволяют проверять все компоненты ФС, в том числе дисковые разделы, реестр Windows, метаданные и удалённые файлы.

Новая система поддерживает по умолчанию монтирование разделов только на чтение. Также в дистрибутиве сокращено время загрузки, а загрузочный образ можно копировать в ОЗУ. Добавлены утилиты для получения данных из дампов памяти и остаточной информации из образов дисков.

Скачать новинку можно по ссылке. Дистрибутив будет полезен системным администраторам, компьютерным криминалистам, судебным экспертами и специалистам в области информационной безопасности.

>>> Подробности



Проверено: a1batross ()
Последнее исправление: Satori (всего исправлений: 3)

Как же убунту испоганили мусора.

anonymous
()
Ответ на: комментарий от sT331h0rs3

Ну уж сразу ФСБ… :) Forensic analysis всем нужен.

gns ★★★★★
()

Ну да, ну да, ага, Теория бифуркаций динамических систем прямо говорит что набитая скриптом пикча проскочит 100%, просто такая ситуация) Линявка эта ничо никак в принципе несмогёт если руки)

anonymous
()
Ответ на: комментарий от te111011010

Нет, не Kali. Много спец. фич.

anonymous
()

Все эти пакеты есть в AUR'е. На кой черт еще один васянский дистр, еще и на жЫрной убунте, если есть божественный рач\манжара\антергос ?

windows10 ★★★★★
()

С восстановлением файлов с диска оно ничего нового не предлагает по сравнению с testdisk.

Deleted
()
Ответ на: комментарий от Deleted

С восстановлением файлов с диска оно ничего нового не предлагает по сравнению с testdisk.

1.Это дистрибутив а не программа. 2.Как это «ничего»? А gddrescue, TSK, Autopsy и т.д.?

SG_Marazm
()
Последнее исправление: SG_Marazm (всего исправлений: 1)

Прикольно, нужно попробовать. Интересно же.

HDSentinel

Классная штука, пользую как в Windows так и в Linux её, но Linux версия это как паровоз по сравнению с современным поездом: cli прога, причем с меньшими возможностями чем windows-гуишная.

Возможно от того что автор изначально интерфейс на WinApi запилил? Других причин такого не знаю.

bonta ★★★★★
()
Ответ на: комментарий от bonta

cli прога, причем с меньшими возможностями чем windows-гуишная

Я не сравнивал с win-версией. Не поделитесь, каких возможностей у нее больше?

SG_Marazm
()
Ответ на: комментарий от SG_Marazm

Ведёт логи состояния дисков, в том числе визуализирует графиками, причем не только температуру, но и smart показатели. Можно настроить на алярм при достижении определенной температуры дисков. Можно просматривать производительность дисков (хотя это конечно удобнее через штатные средства винды).

Можно запускать проверку поверхности диска (разные от последовательного до рандомного чтения), от софтверной проверки до запуска самодиагностики диска через обращение к встроенным в прошивку диска программам.

Т.е. крутая штука.

bonta ★★★★★
()
Ответ на: комментарий от Deleted

Ну, если взломаешь соседский вифи, то да :D

anonymous
()
Ответ на: комментарий от bonta

и как часто ты пользовался этой поделелкой для проверки диска куда ты эту поделелку установил?

anonymous
()

скрипты к файловому менеджеру Caja, которые позволяют проверять все компоненты ФС, в том числе дисковые разделы, реестр Windows, метаданные и удалённые файлы.

што?

mos ★★☆☆☆
()
Ответ на: комментарий от anonymous

Температуру и смарт показатели (на самом деле конечно не все их, а суммарный стату что все ок) каждый день мониторю. Если активно юзается диск, с помощью этой проги я знаю когда нужно покрутить обороты вентилятора на жесткие.

Ф-ии проверки поврхности раз в полгода-год юзаю. Хотя конечно есть мысль что в слвременном мире в любой проге пока диск не исчерпает резервные блоки, ни одна прога не скажет что-то реальное, не смотря на всякие смарт показатели о кол-ве перераспределений и т.п.

Ну и вообще к чему вопрос-то. Конечно весь фарш нужен не часто. Но это же не значит что он не нужен.

bonta ★★★★★
()
Последнее исправление: bonta (всего исправлений: 1)

компьютерным криминалистам

А у нас такие есть?

Судя действиям роскомнадзора кажется можно переносить и на отдел—к.

Кажется что они и файл удаленный не восстановят. А все что могут - это по логам провайдеров определять что-кто скачал или смотреть переписки, потому что им дают, а не потому что ни могут сами взламывать.

bonta ★★★★★
()
Последнее исправление: bonta (всего исправлений: 2)

Сколько не пробовал восстанавливать удаленные файлы средствами linux, получается куча неработающего мусора. Это что касается поиска по сигнатурам. Очень печальные результаты. Хорошо работала у меня только extundelete, но исключительно при условии целостности файла. А в большинстве случаев R-Studio и DMDE давали хоть какие-то более-менее внятные результаты. Но за новость спасибо, с дистрибутивом обязательно стоит ознакомиться. К тому же тут перечислена куча утилит, о которых я раньше совсем не слышал.

gard
()
Последнее исправление: gard (всего исправлений: 1)
Ответ на: комментарий от gard

восстанавливать удаленные файлы средствами linux

Linux тут при чем, восстанавливальщик? Руки выпрямляй и все такое…
И Dmde и r-studio под линь тоже есть.

anonymous
()

А сможет какой-то из представленных инструментов восстановить хоть что-то из LUKS2-раздела? Создавал под федорой такой раздел, ставил систему туда. Testdisk запускал из live-режима — ничего не обнаружил, ни одной крохи.

Desmond_Hume ★★★★★
()
Ответ на: комментарий от gard

Хорошо работала у меня только extundelete, но исключительно при условии целостности файла.

А что она должна восстановить в случае, если файл уже частично перезаписан? extundelete вроде только по inode вытащить те блоки, в которых было содержимое файла.

Makhno
()
Последнее исправление: Makhno (всего исправлений: 1)
Ответ на: комментарий от Makhno

Против extundelete ничего не имею. А постом выше говорю о том, что программы типа scalpel, foremost, которые ищут файлы по сигнатурам, как правило оказываются неэффективны и выдают кучу бесполезного хлама. Причем выхлоп достигает сотен гигабайт, а полезной нагрузки там.. хорошо, если хоть что-то есть.

gard
()
Ответ на: комментарий от gard

scalpel, foremost, которые ищут файлы по сигнатурам, как правило оказываются неэффективны и выдают кучу бесполезного хлама

Мусор из-за неправильного выбор размера нарезки, способа восстановления и, может быть, - сигнатуры. Ставьте в foremost опцию не возвращаться после обнаружения сигнатуры footer-a. Если не получается - пользуйтесь чем-то типа photorec. Там заодно и корректность нарезанных файлов проверяется, в настройках по-умолчанию.

anonymous
()
Ответ на: комментарий от TheAnonymous

Kali Linux[4] is a Debian-derived Linux distribution designed for digital forensics and penetration testing

Использовать Kali для forensics - такое себе удовольствие. Вот как раз Kali и является тупо сборкой forensics программ. Можно у себя повторить на дистре - не больше часа работы.

anonymous
()

Покручу на виртуалке ради ознакомления с софтом, а так любой дистр подойдет для данных целей. Да и убунта мне не по душе, яб генту собрал для этих целей.

anonymous
()
Ответ на: комментарий от anonymous

Для восстановления CAINE ничем не лучше других. Он для соблюдения определенных «правил», принятых в digital forensics.

anonymous
()

a1batross чистку затеял, это хорошо.
но согласись, что сложновато при ответе прослеживать всю цепочку сообщений. чего бы не снести только трололо ?

Deleted
()

В виртуалке не взлетел.

Promusik ★★★★★
()
Ответ на: комментарий от Deleted

чистку затеял, это хорошо

Сразу стало скучно и уныло. А вот трололо с шютками про Кали не убрал.

anonymous
()

Отличный дистрибутив! Нашел самолет жены медведева с его помощью!

anonymous
()
Ответ на: комментарий от ArkaDOSik

Про книги этого стукача - да, согласен.

ненужно-дистром

А вот здесь «Ты, Борис, неправ!»(с)

Дистр. офигенно скомпонован для экспертов. Для всех остальных не подойдет ибо очень узко специализирован.

К тому же из всей линейки forensic дистров реально развивается только он. Все остальные практически дохлые (DEFT, Helix…).

anonymous
()
Ответ на: комментарий от Deleted

Являются ли шутки про петросяна петросянскими шутками ?

Согласен. Самому не понравилось. Но удалить не могу (

Ованнисян_Карен_Гарегинович.gif

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.