The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Вышел DEFT Zero, дистрибутив для расследования компьютерных преступлений

14.02.2017 08:55

После почти трёх лет разработки подготовлен релиз Linux-дистрибутива DEFT 2017.1 ("DEFT Zero"), предназначенного для проведения анализа последствий взломов, определения скрытых или потерянных данных в системе, а также для сбора доказательств в расследованиях компьютерных преступлений. Дистрибутив построен на базе Lubuntu 14.04.02 и снабжен удобным графическим интерфейсом, использующим компоненты десктоп-окружения LXDE и оптимизированным для упрощения выполнения типовых операций, выполняемых при проведении расследования.

Выпуск DEFT Zero примечателен существенным сокращением загрузочного образа, который был сокращён с 3.1 Гб до 508 Мб. В сокращённом варианте всё внимание уделено решению задачи копирования и извлечения данных с цифровых носителей. Добавлена поддержка памяти NVMExpress (используется в новых Mac Book) и eMMC, обеспечена поддержка UEFI. Благодаря сокращению размера iso-образа, live-окружение теперь может быть загружено целиком в память и не влиять на работу подсистем ввода/вывода. На системах с небольшим размером ОЗУ (менее 512 Мб) дистрибутив поддерживает работу в текстовом режиме.



  1. Главная ссылка к новости (http://www.deftlinux.net/2017/...)
  2. OpenNews: Вышел DEFT 8.1, дистрибутив с инструментарием для расследования компьютерных преступлений
  3. OpenNews: Выпуск дистрибутива для исследования безопасности систем Kali Linux 2016.2
  4. OpenNews: Выпуск Wifislax 4.12, дистрибутива для тестирования Wi-Fi
  5. OpenNews: Вышел CAINE 8.0, дистрибутив для выявления скрытых данных
  6. OpenNews: Выпуск дистрибутива Parrot 3.3 с подборкой программ для проверки безопасности
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/46041-deft
Ключевые слова: deft
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (31) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Мошейник (?), 09:20, 14/02/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +10 +/
    Ждём дистрибутив для совершения компьютерных преступлений.
     
     
  • 2.8, Simion (?), 10:22, 14/02/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    https://blackarch.org The best !!!
     

  • 1.2, Аноним (-), 09:21, 14/02/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    >На системах с небольшим размером ОЗУ (менее 512 Мб) дистрибутив поддерживает работу в текстовом режиме.
    >десктоп-окружения LXDE

    да вы шутите, lxde и на 128mb можно использовать, а на 512 даже страдать не придется. Или в эту бубунту столько скрытых сервисов понапихали(а авторы данного ZverCD не додумались их выключить), что 512 уже предел...

    А вообще мало подробностей чем этот дистрибутив лучше других livecd для расследования преступлений, монтирует диски с noatime,ro что-ли?

     
     
  • 2.6, Аноним (-), 09:55, 14/02/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Дистрибутив весь грузится в ОЗУ и работает из ram-диска, поэтому свободного ОЗУ почти не остаётся.
     
     
  • 3.30, Perl_Jam (?), 22:51, 15/02/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Товарища кноппера это не останавливало, он и мозиллу с кедами и офисом в таких объемах памяти вполне запускал
     
  • 2.10, Аноним (-), 10:55, 14/02/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Где купить комп со 128M памяти, т.е. где-то 2000 - 2001 г. выпуска?
     
     
  • 3.13, A.Stahl (ok), 11:29, 14/02/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да на любой барахолке. Смотри в сторону третепней -- для них вполне типовый объём памяти.
     
  • 2.14, Michael Shigorin (ok), 12:25, 14/02/2017 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > А вообще мало подробностей чем этот дистрибутив лучше других livecd для расследования
    > преступлений, монтирует диски с noatime,ro что-ли?

    Этого недостаточно: http://forensicswiki.org/wiki/Forensic_Live_CD_issues -- надо через loop монтировать, чтоб не нарваться на откат журнала.

    Кстати, если кому важно -- http://altlinux.org/rescue перечисленными там не страдает (в т.ч. благодаря присланному автором странички патчу на early userspace, который совместными усилиями довели до пакета).  Улучшить можно разве что readonly mode на уровне ядра, но там могут образоваться небольшие накладные расходы для всех за счёт добавления проверки в block layer (кажется, этот патчик взяли в ядро grml).

     
     
  • 3.16, aaaaaaaaaaa (?), 15:02, 14/02/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    для меня, как для поверхностной бестолочи в консоли и ангийцком, http://altlinux.org/rescue - страдает отсутствием русского (даже lang=ru не помогает) и отсутствием простого меню с кратким описанием имеющегося ПО... Вроде русский дистрибутив, вроде линукс пропагандируете, но недоделано и как то, на себя рассчитано, а не на разношерстное общество...
     
     
  • 4.17, Michael Shigorin (ok), 15:33, 14/02/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > для меня, как для поверхностной бестолочи в консоли и ангийцком,
    > http://altlinux.org/rescue

    Не, оно не страдает, оно просто не для Вас -- это инструмент именно для _понимающих_, что они делают в консоли.

    > страдает отсутствием русского (даже lang=ru не помогает)

    Да, его там некому обрабатывать.

    > и отсутствием простого меню с кратким описанием имеющегося ПО...

    Его там никогда не было, да и если кратким описанием не отделаться -- то стоит ли делать развесистое?

    > Вроде русский дистрибутив, вроде линукс пропагандируете, но недоделано и как-то
    > на себя рассчитано, а не на разношерстное общество...

    Многое там доделано и расходится сотнями гигазов ежемесячно (а вот serial console чинить надо, как недавно выяснилось).  Другой вопрос, что расчёт именно на специалистов и об этом сразу говорится на соответствующей вики-странице.

    Как-то думал в вариант lxde добавить rescue-режим с простенькой панелькой для запуска типовых работ -- но убоялся давать инструментарий в руки человека, который почти наверняка от иллюзии "да тут же всё понятно" начнёт бездумно жать на кнопки и догробит то, что спец ещё бы вытащил, до состояния "всё, приплыли".

    Поэтому здесь вопрос в основном о том, как приблизить палочку-выручалочку к пользователю, но не дать ему спутать её с кнопкой "мамародименяобратно" и не дать отстрелить из этой палочки себе обе ноги сразу... пока положил gparted, хоть и тоже с нелёгким сердцем.

     
     
  • 5.20, Тот_Самый_Анонимус (?), 17:58, 14/02/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >> страдает отсутствием русского (даже lang=ru не помогает)
    >Да, его там некому обрабатывать.

    А вот конкурент, Parted Magic, это умел до 2015-го года. Было удобно, а пoнты «понимающих» не нужны.

     
     
  • 6.21, Michael Shigorin (ok), 18:15, 14/02/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >>> страдает отсутствием русского (даже lang=ru не помогает)
    >> Да, его там некому обрабатывать.
    > А вот конкурент, Parted Magic, это умел до 2015-го года.
    > Было удобно, а пoнты «понимающих» не нужны.

    Разве это _консольный_ дистрибутив, соответствующий описанию по ссылке из #16?

    Повторюсь, раз Вы невнимательно прочитали: рядом с тем спасательным образом каждую среду появляются и графические варианты с разными DE/WM (altlinux.org/regular), [I]в каждом из которых есть gparted[/I].  И вот они умеют русский прям из менюшки загрузчика по F2 :)

    А среди аналогичных alt rescue образов скорее тот же grml-small будет...

     
     
  • 7.24, Тот_Самый_Анонимус (?), 05:50, 15/02/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >#16

    №16

    >в каждом из которых есть gparted

    Ну Parted Magic, это не только GParted. Нашёл, вроде. У вас там чёрт ногу сломит, и без ссылки трудно найти нужное :)

     
     
  • 8.25, Тот_Самый_Анонимус (?), 05:56, 15/02/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Хотя нет, regular, это не для восстановления, а для тестирования, так что ни раз... текст свёрнут, показать
     
     
  • 9.26, Michael Shigorin (ok), 11:38, 15/02/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Одно другого не отменяет -- вон из rescue кто-то себе сделал вообще корень для к... текст свёрнут, показать
     
     
  • 10.27, Тот_Самый_Анонимус (?), 12:30, 15/02/2017 [^] [^^] [^^^] [ответить]  
  • +/
    По задачам нужна именно система для восстановления, с тем же GParted, PartImage,... текст свёрнут, показать
     
     
  • 11.28, Michael Shigorin (ok), 14:31, 15/02/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Дело в том, что хоть его на ftp linux kiev ua и зеркалил -- вроде ни разу не пон... текст свёрнут, показать
     

  • 1.4, iCat (ok), 09:36, 14/02/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Вот список пакетов этого дистрибутива:
    http_//www_.deftlinux_.net/package-list/

    Не понятно по какой причине в качестве основы взят *buntu.

     
     
  • 2.5, Аноним (-), 09:54, 14/02/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Вот список пакетов этого дистрибутива:
    > http://www.deftlinux.net/package-list/

    Это пакеты DEFT 8, который весил 3 Гб. В DEFT Zero существенно всё порезали.

     

  • 1.7, бедный буратино (ok), 09:58, 14/02/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    скрипт для исчисления русских хакеров имеется? хотя бы на основе уникального алгоритма random?
     
     
  • 2.9, A.Stahl (ok), 10:50, 14/02/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    unsigned int64_t count_russian_motherhackers()
    {
        return 123;
    }
     

  • 1.11, Grishko (?), 11:07, 14/02/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Какая-то ересь, несколько программ для выдирания образов и всё, в backtrack и то больше инструментов...
     
  • 1.12, Grishko (?), 11:15, 14/02/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А вот предыдущая версия - 8.2 - очень даже интересная :)
     
     
  • 2.15, Michael Shigorin (ok), 12:28, 14/02/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    А какие интересны?  Принимаются пожелания для alt rescue (там нет libX11, только текстовый инструментарий) и в принципе компактные утилитки можно добавлять в одну из графических регулярных сборок -- gparted и базовые спасательные утилиты там есть везде, как пользователи и предложили; при желании можно и отдельный вариант отгрохать, только наверняка понадобится пакетить что-либо дополнительное, а с таким лучше всего справляются непосредственно заинтересованные, по опыту.
     
     
  • 3.22, Аноним (-), 19:33, 14/02/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Могу подсказать идею, что могло бы пригодиться, но это именно по раскрытию преступлений. В своё время очень не хватало генератора отчёта. Т. е. программы, куда бы заносилась информация о найденных файлах (например, через sqlite), с автоматическим формированием даты создания, даты последнего доступа и возможностью указания описания. В итоге программа должна генерировать отчёт для последующей печати приложения к протоколу. В идеале ещё пригодился бы поисковик, который, например, использовал бы OpenCV для поиска схожих с заданным материалов (вручную всё анализировать довольно тяжко). Я понимаю, что вряд ли есть нечто подобное в open source, но если есть, было бы неплохо включить в дистрибутив.
     
     
  • 4.23, Michael Shigorin (ok), 20:46, 14/02/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Могу подсказать идею, что могло бы пригодиться, но это именно по раскрытию
    > преступлений. В своё время очень не хватало генератора отчёта.

    Подобные штуки обычно осмысленным образом пишутся или теми, кто долго делал и надоело вручную, или вместе с таким человеком... (по другому опыту)

    > В идеале ещё пригодился бы поисковик, который, например, использовал бы OpenCV
    > для поиска схожих с заданным материалов (вручную всё анализировать довольно тяжко).

    Тут совсем не в теме, меня-то поиск интересует только полнотекстовый (и для себя тут остановился на recoll).

    Из того, что до сих пор принесли -- http://packages.altlinux.org/forensic-scripts с реализацией бережного собирания/подключения mdraid/lvm/ФС и http://packages.altlinux.org/altquire в качестве полноэкранного текстового интерфейса для работы с образами носителей (к нему есть и документация в ODT, надо бы куда-то сконвертировать да приложить на диск).

    Опять же можно пошурудить от http://forensicswiki.org/wiki/Tools на предмет чего нужного, но сходу не заметил.

     

  • 1.18, Аноним (-), 15:47, 14/02/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Кастраты на 400Мб не нужны, а у меня уже зарезан CAINE 8.
     
  • 1.29, ПавелС (ok), 16:00, 15/02/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Я не понимаю как например представить данные в полицию. Ну веду я журнал файервола - дак мне скажут ты сам эти все логи в блокноте напечатал. Эти все логи видимо только для себя и к сведению.
     
     
  • 2.32, Бох (?), 13:46, 16/02/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >как например представить данные в полицию

    ну как как - приезжает к тебе бригада по вызову, при свидетелях опечатывают и изымают твой системный блок.
    ну, а на дальнейшее ты повлиять уже никак не можешь - далее по цепочке комп сначала запускает следак с местным "экспертом" у себя в отделе.
    если есть окошко  с логином и паролем - звонят тебе и просят логин и пароль.
    по своему скудоумию ничего не находят, и комп уезжает "на экспертизу", где пылится месяц, два, три, в общем когда они осилят "да у него там линукс стоит запароленный"

     

  • 1.31, Рачевод (?), 03:25, 16/02/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    а в чем профит всех этих кали перед демьяном или бунтой с тем же набором пакетов?
     
     
  • 2.33, Аноним (-), 14:45, 16/02/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > а в чем профит всех этих кали перед демьяном или бунтой с
    > тем же набором пакетов?

    Для кото-то: в готовой подборке с патчами.
    Для остальных: ЧСВ(Kali) > ЧСВ(Debian) + 9000


     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру