The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Релиз CAINE 11.0, дистрибутива для выявления скрытых данных

02.12.2019 21:03

Увидел свет релиз CAINE 11.0 (Computer Aided INvestigative Environment), специализированного Live-дистрибутива, предназначенного для проведения криминалистического анализа, поиска скрытых и удалённых данных на дисках и выявления остаточной информации для восстановления картины взлома системы. Дистрибутив основан на Ubuntu и оснащён единым графическим интерфейсом на базе оболочки MATE для управления набором разноплановых утилит по исследованию Unix и Windows систем. Поддерживается загрузка Live-образа в оперативную память. Размер загрузочного iso-образа 4.1 Гб (x86_64).

В состав входят такие средства, как GtkHash, Air (Automated Image & Restore), SSdeep, HDSentinel (Hard Disk Sentinel), Bulk Extractor, Fiwalk, ByteInvestigator, Autopsy, Foremost, Scalpel, Sleuthkit, Guymager, DC3DD. Также стоит отметить специально разработанную в рамках проекта систему WinTaylor для досконального анализа Windows-систем и генерации подробных отчётов о всех зафиксированных аномалиях. В состав также входит подборка вспомогательных скриптов для файлового менеджера Caja (форк Nautilus), которые позволяют выполнить широкий спектр проверок дискового раздела или директории, а также посмотреть список удалённых файлов и разобрать структурированный контент, такой как история посещений браузера, реестр Windows, изображения с метаданными EXIF.

Основные новшества:

  • Выпуск построен на пакетной базе Ubuntu 18.04, поддерживает UEFI Secure Boot и поставляется с ядром Linux 5.0;
  • Для предотвращения случайных операций записи все блочные устройства теперь монтируются по умолчанию в режиме только для чтения. Для перевода в режим, допускающий запись, в графическом интерфейсе предложена утилита BlockON;
  • Сокращено время загрузки;
  • Добавлена возможность загрузки с копированием загрузочного образа в ОЗУ;
  • Новые версии OSINT, Autopsy 4.13, APFS, BTRFS foresic tool;
  • Добавлена поддержка NVME SSD;
  • По умолчанию отключен SSH-сервер;
  • Интегрирован инструмент scrcpy, для управления Android-устройством (захват экрана) через USB или TCP/IP;
  • Добавлен X11VNC Server для удалённого управления CAINE;
  • Добавлен инструмент AutoMacTc для криминалистического анализа систем на базе macOS;
  • Добавлена утилита Autotimeliner для автоматического извлечения информации об активности пользователя из дампов памяти;
  • Добавлен анализатор прошивок Firmwalker;
  • Добавлена утилита CDQR (Cold Disk Quick Response) для извлечения остаточных данных из дисковых образов;
  • Добавлен набор утилит для Windows.


  1. Главная ссылка к новости (http://www.caine-live.net/page...)
  2. OpenNews: Релиз CAINE 10.0, дистрибутива для выявления скрытых данных
  3. OpenNews: Релиз дистрибутива для исследования безопасности систем Kali Linux 2019.4
  4. OpenNews: Вышел DEFT Zero, дистрибутив для расследования компьютерных преступлений
  5. OpenNews: Ubuntu CyberPack (ALF) 1.0 - новый дистрибутив для криминалистического анализа
Лицензия: CC-BY
Тип: Программы
Ключевые слова: caine, forensic
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (12) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 21:19, 02/12/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Было бы удобно если бы был плагин подсвечивающий вызовов const методов, чтобы сразу можно было понять в клиентском коде, что состояние класса не меняется
     
  • 1.2, Аноним (2), 21:38, 02/12/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Часть инструментов - проприетарь.
     
  • 1.7, anonymous (??), 22:24, 02/12/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    steam имеется?
     
     
  • 2.16, neAnonim (?), 01:21, 03/12/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    на парах делать нечего? или в школу с ноутбуком пускают?
     

  • 1.10, Michael Shigorin (ok), 23:03, 02/12/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > Дистрибутив основан на Ubuntu
    > Ключевые слова: forensic

    Обычно дальше можно не читать, разве если свои initrd и последовательность загрузки... дебиановые производные крайне склонны разрушать остаточные данные безрассудным монтированием чего попало для начала в поисках собственно системы, а затем при её загрузке: http://forensicswiki.org/wiki/Forensic_Live_CD_issues

    А вот в http://altlinux.org/rescue это учтено, особенно в forensic mode -- спасибо коллегам из IB Group.

     
     
  • 2.17, хотел спросить (?), 04:08, 03/12/2019 [^] [^^] [^^^] [ответить]  
  • –6 +/
    Да нет доверия дистрам из рашкостана, из австралии, к пендосам большие подозрения.

    Вы бы выбрали какую-нибудь Швецию, Швецарию.. на край любую страну ЕС.. и работали бы по их законам.

    А то мессенджер какой в дистр добавили, а к вам на завтра ФСБ пришли ключи цап-царап.

     
     
  • 3.18, Michael Shigorin (ok), 12:35, 03/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Вы бы выбрали какую-нибудь Швецию, Швецарию.. на край любую
    > страну ЕС.. и работали бы по их законам.

    Ассанж, банковская тайна и прочие Каддафи ничего не подсказывают?

     
     
  • 4.21, хотел спросить (?), 20:21, 03/12/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ясен пень влияние США имеется.
    Но в Швеции так процесс и не состоялся, а подкупить можно любую курицу.
    В Швейцарии они начали передавать данные о гражданах США (пендосы бесились именно из-за этого).
    И все равно там все еще лучше в плане банковской тайны, чем в той же РФ.
    Автоматический обмен налоговой информацией, который так хочет РФ, перестали осуществлять с ней многие страны участники договора.
    И причем там Ливия с Кадафи?

    Короче не надо лохматить бабушку, речь шла о депонированиии ключей.
    И в ЕС еще есть страны в которых на уровне закона, таких требований нет.

     
  • 2.19, Аноим (?), 16:52, 03/12/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Михаил, скажите, много ли людей используют в продакшн альтлинукс за пределами СНГ?
     
     
  • 3.20, Michael Shigorin (ok), 18:12, 03/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Михаил, скажите, много ли людей используют в продакшн альтлинукс за пределами СНГ?

    А мы их не запрашиваем, потому просто не знаю.  Что-то можно предположить из статистики загрузок (когда посматривал чаще, так прям освежал познания по географии) -- но это заведомо не учитывает зеркала.  Что-то -- по вопросам и предложениям.  А вообще только теперь наконец сделали загрузочный сайтик getalt.org -- на вики уже и бывалые пользователи путались в растущем выборе...

     

  • 1.22, ua9oas (ok), 02:45, 04/12/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Сейчас и распробовал его наигрался с ним и мне много есть чего с него набагрепортить (пишу сейчас из под нее. И кто еще вещь сию распробовал? И как?) Вещь это явно бракованная (с затруднениями запустил (с флешек не получается- только с dvd пошло)) и требует корректирующего релиза- когда выйдет? (Ну и очень важно производителю с такими способными как я сначала советоваться (чтобы опять брака потом не было (и бета-версии сначала надо было выпускать, прежде чем быть в чем-то уверенными))- там русский язык кто-нибудь понимает? (Ну или кто бы мои багрепорты перевел? Подробно это все я описал тут- https://vk.com/opennet?w=wall-23513226_18392 и потом буду еще немало редактировать эту мою сборку-учебное пособие- там пока далеко не все недостатки этого дистрибутива описаны, которые я с него отловил).

    ▧ Это кастомная сборка "убунты"- ее форки могут быть намного "умственно полноценней" оригинала. Так бывает. Но в этот раз- не совсем.

    И заодно у кого есть опыт разобраться с программой "Multisystem"? (Которая мультибутовые флешки создает- она у меня слишком часто "багает" (и производителем за столько лет это не фиксится)- ну или что другое вместо нее лучше использовать?)

     
     
  • 2.23, llirik (ok), 08:18, 05/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >>И заодно у кого есть опыт разобраться с программой "Multisystem"? (Которая мультибутовые флешки создает- она у меня слишком часто "багает" (и производителем за столько лет это не фиксится)- ну или что другое вместо нее лучше использовать?)

    Конечно есть вариант для мультибута намного лучший -- это использовать что-то наподобии zalman ve350 или собственно iodd (купил в своё время на алике -- отличная штука!).

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру