The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Вышел релиз DEFT 6, инструментария для расследования компьютерных преступлений

12.01.2011 20:43

Увидел свет релиз Linux-дистрибутива DEFT 6, предназначенного для проведения анализа последствий взломов, определения скрытых или потерянных данных в системе, а также для сбора доказательств в расследованиях компьютерных преступлений. Дистрибутив построен на базе Lubuntu 10.10 и снабжен удобным графическим интерфейсом, использующим компоненты десктоп-окружения LXDE и оптимизированным для упрощения выполнения типовых операций, выполняемых при проведении расследования.

В состав дистрибутива входит достаточно полная подборка профильных утилит, от антивирусов, систем поиска информации в кэше браузра, сетевых сканеров и утилит для выявления руткитов, до анализаторов содержимого диска и программ для выявления скрытых данных. Например, в комплект входят такие инструменты, как Guymager, Sleuthkit, Autopsy, dcfldd, ddrescue и linen.

Загрузочный ISO-образ DEFT 6 занимает 692 Мб. Для платформы Windows подготовлен специальный пакет дополнений DEFT Extra 3.0, включающий программы для разбора специфичных для Windows инцидентов и набор работающих в Windows утилит. DEFT Extra оформлен в виде целостной панели управления и работает под управлением Wine.

Некоторые новшества DEFT 6:

  • Использование Linux-ядра 2.6.35;
  • Обновление приложений: Sleuthkit 3.2.0, Autopsy 2.24, Digital Forensic Framework (DFF) 0.9, Xplico 0.6.1, Dhash 2.0.1, Guymager 0.5.7, Hunchbacked 4most 0.6, FTK Imager 3, Log2timeline 0.50;
  • Добавлено приложение Xmount 0.4.4 и утилита mount_ewf;
  • Поставка новых версий утилит для выявления и сохранения файлов на неразмеченных областях диска (например, нахождение изображений по заголовку): Foremost, Scalpel и Photorec;
  • Готовность использования USB 3;
  • Поддержка систем MacOS X на базе CPU Intel;
  • Полная поддержка большинства файловых систем и менеджеров логических разделов;
  • Поддержка afflib и ewflib;


  1. Главная ссылка к новости (http://www.deftlinux.net/2011/...)
  2. OpenNews: Вышел релиз Linux дистрибутива DEFT 5.1
  3. OpenNews: Вышел релиз Linux дистрибутива DEFT 5
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/29253-DEFT
Ключевые слова: DEFT, forensic
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (23) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, optimus (??), 20:55, 12/01/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Даже не предполагал о существовании подобных.
     
     
  • 2.8, ананим (?), 22:23, 12/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    когда-то давно натыкался на обзор подобных дистров и программ, при чём обзор на русском и российских силовиков. но сейчас что-то даже ссылку найди не могу.
    идея же там проста и очевидна - вся инфа на винте, следовательно нужен к ней доступ без повреждения улики. при чём смонтировать в ридонли не достаточно, т.к. при мотировании меняется дата монтирования. вот и все рекомендации к выбору дистра, а дальше шёл обзор прог.
     
     
  • 3.9, ананим (?), 22:29, 12/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    зы:
    вот ещё для интересующихся http://www.ibm.com/developerworks/ru/library/l-livecddiag/index.html?S_TACT=1
     
  • 3.11, pavlinux (ok), 00:03, 13/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > вся инфа на винте, следовательно нужен к ней доступ без повреждения улики.

    dd if = /dev/sda of=CIA.img

    # sex -with CIA.img

     
     
  • 4.12, ананим (?), 01:35, 13/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    я тоже тогда так подумал.
    пока НДЦать террабайтов не увидел.
     
     
  • 5.13, pavlinux (ok), 02:13, 13/01/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > я тоже тогда так подумал.
    > пока НДЦать террабайтов не увидел.

    NAME="b c d e f g h i j k l m n o p q r s t u";
    SIZE=$((2*1024*1024*1024*1024)) # 2Tb

    for i in $NAMES
      do
         OFFSET=((++i * "НДЦать террабайтов" % SIZE))
         dd if=/dev/raid0 of=/dev/sd$NAME bs=$SIZE skip=$OFFSET;
    done

     
     
  • 6.15, ананим (?), 02:29, 13/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    палин, а не ты ли тут постоянно доказывал о постоянности физической скорости физических же девайсов?

    даже по количеству букавкав смонтировать девайстину под ro /dev/sda c аналогичным жеж параметром ro и проще, и быстрее, и без необходимости копирования на носитель не меньший текущего.
    это какбэ логично.

     
     
  • 7.17, pavlinux (ok), 03:00, 13/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > смонтировать девайстину под ro /dev/sda c аналогичным жеж
    > параметром ro и проще, и быстрее, и без необходимости копирования на
    > носитель не меньший текущего. это какбэ логично.

    Ну девайсик под 128 терабайт вряд ли так просто, взять и примонтировать.
    сто пудов это какой-нить RAID, ещё хуже NAS, совсем ж..а - SAN на распределённой ФС,
    у которой размер неизвестен. :)

    В общем, болтовня всё это, надо по месту и по делу, а там и способы решения найдутся.

     
     
  • 8.18, ананим (?), 03:31, 13/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    ну, смонтировать по-любому несколько по-проще, чем полное копирование D точно ... текст свёрнут, показать
     
  • 8.23, Nirnroot (?), 11:08, 13/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    А где хранить-то будешь все это Все образы и пр А окружение как обеспечишь ... текст свёрнут, показать
     
     
  • 9.25, pavlinux (ok), 16:36, 13/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    У проблемы Ваши деньги, наше решение Скопируем, найдем, обнаружим, обезвредим... текст свёрнут, показать
     

  • 1.2, Tetradeca (?), 21:24, 12/01/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    аналогично, .... история почему то начинается с 5 версии... :) на их сайте написано что дистриб имеет 100% итальянские корни...
     
     
  • 2.6, ананим (?), 22:02, 12/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    http://www.mirrordeft.net/listing/deft/
    Parent Directory                             -  
    deft_6.iso              11-Jan-2011 15:28  692M  
    deft_6_rc.iso           05-Dec-2010 22:47  689M  
    deftv3x-1.iso           03-Sep-2008 11:49  612M  
    deftv4.2.1.iso          20-Oct-2009 17:41  684M  
    deftv5.1.iso            04-May-2010 08:58  698M  
    deftv5x.iso             15-Dec-2009 09:45  688M  
     

  • 1.3, Tetradeca (?), 21:26, 12/01/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    главное штоб видео можно было смотреть... :)
     
  • 1.4, Аноним (-), 21:41, 12/01/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Интересная вещь, только я смоневаюсь, что её используют по прямому назначению
     
  • 1.5, Аноним (-), 21:56, 12/01/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Xnview?? в моей лубунте??
     
     
  • 2.24, Гентушник (ok), 12:41, 13/01/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    С разморозкой:
    http://www.xnview.com/en/downloadunix.html
     

  • 1.10, Аноним (-), 22:58, 12/01/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А как оно в сравнении с CAINE?
     
  • 1.20, Аноним (-), 09:06, 13/01/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Дистр как-бе покажет вам что у вас в системе надо подправить.
    з.ы. А винты цепляют через аппаратные блокираторы записи
     
     
  • 2.21, ананим (?), 10:16, 13/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >з.ы. А винты цепляют через аппаратные блокираторы записи

    # chmod u-w /dev/sda
    ........
    # chmod u-w /dev/sda10
    # chmod g-w /dev/sda10
    # ls -l /dev/sda10
    br--r----- 1 root disk 8, 10 Янв  9 11:53 /dev/sda10
    # mount -t ext4 /dev/sda10 /u03 -o ro
    #

     
  • 2.26, Адм_крск (?), 19:37, 13/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    К слову, даже коробочки с защитой от записи есть для 2.5" винтов. Полезная штука.
     

  • 1.22, Аноним (-), 11:05, 13/01/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    # chmod u-w /dev/sda

    Это в нашей-то м(п)илиции? Где венда поголовно и "икспертный" софт это UnDoble.

     
     
  • 2.27, ананим (?), 20:51, 13/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    мы тут вообще-то о ливсд с линухом говорим.
    с которого и грузимся. и даже не хочу объяснять почему.
    это сложно для понимания?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру