Увидел свет (http://www.caine-live.net/page6/files/category-release.html) релиз CAINE 9.0 (http://www.caine-live.net/) (Computer Aided INvestigative Environment), специализированного Live-дистрибутива, предназначенного для проведения криминалистического анализа, поиска скрытых и удалённых данных на дисках и выявления остаточной информации для восстановления картины взлома системы. Дистрибутив основан на Ubuntu и оснащён единым графическим интерфейсом на базе оболочки MATE для управления набором разноплановых утилит по исследованию Unix и Windows систем. Размер загрузочного iso-образа (http://caine.mirror.garr.it/mirrors/caine/) 2.7 Гб (x86_64).В состав входят (http://www.caine-live.net/page11/page11.html) такие средства, как GtkHash (http://gtkhash.sourceforge.net/), Air (http://air-imager.sourceforge.net/), SSdeep (http://ssdeep.sourceforge.net/), HDSentinel (http://www.hdsentinel.com/) (Hard Disk Sentinel), Bulk Extractor, Fiwalk (http://domex.nps.edu/deep/Fiwalk.html), ByteInvestigator (http://sourceforge.net/projects/byteinvestigato/), Automated Image & Restore (AIR (http://air-imager.sourceforge.net/)), Autopsy (http://www.sleuthkit.org/autopsy/index.php), Foremost (http://foremost.sourceforge.net/), Scalpel (http://www.digitalforensicssolutions.com/Scalpel/), Sleuthkit (http://www.sleuthkit.org/), Guymager (http://guymager.sourceforge.net/), DC3DD (http://dc3dd.sourceforge.net/). Также стоит отметить специально разработанную в рамках проекта систему WinTaylor (http://www.caine-live.net/page2/page2.html) для досконального анализа Windows-систем и генерации подробных отчётов о всех зафиксированных аномалиях. В состав также входит подборка вспомогательных скриптов для файлового менеджера Caja (форк Nautilus), которые позволяют выполнить широкий спектр проверок дискового раздела или директории, а также посмотреть список удалённых файлов и разобрать структурированный контент, такой как история посещений браузера, реестр Windows, изображения с метаданными EXIF.
Выпуск построен на пакетной базе Ubuntu 16.04, поставляется с ядром Linux 4.4 и поддерживает возможность загрузки Live-образа в оперативную память. По сравнению с прошлым выпуском в состав включены пакеты RegRipper, VolDiff, SafeCopy, PFF tools, pslistutil, mouseemu, NBTempoX,Osint: Infoga, The Harvester, Tinfoleak regfmount и libregf-utils. По умолчанию отключен сервер SSH.URL: http://www.caine-live.net/page6/files/category-release.html
Новость: https://www.opennet.ru/opennews/art.shtml?num=47450
это для гебни чтоли дистр?
Взял вас на карандаш.
Дистрибутив для товарища майора.
Надо было назвать Павликом, а не Каином
Это Кейн из сериала, а ее Каин из библии.Ваш Кэп.
Каин больше подходит по сути
нескучные обои!
Отличный дистрибутив! Нашёл две скрытых копии systemd и старый swap от винды.
> скрытых копии systemdА я говорил, что Лёна на КГБ работает!
> В состав входят (http://www.caine-live.net/page11/page11.html) такие средства, как
> GtkHash (http://gtkhash.sourceforge.net/)для неосиляторов *sum
> Air (http://air-imager.sourceforge.net/)
page not found
> SSdeep (http://ssdeep.sourceforge.net/)
Интересная штука, но не понял, как она может помочь в "выявлении скрытых данных".
> HDSentinel (http://www.hdsentinel.com/) (Hard Disk Sentinel)
проприета
> Bulk Extractor
что за зверь?
> Fiwalk (http://domex.nps.edu/deep/Fiwalk.html)
Принудительный HTTPS, сертификат выдан недоверенным УЦ.
> ByteInvestigator (http://sourceforge.net/projects/byteinvestigato/)
Какие-то перлоскрипты для потрошения винды.
> Automated Image & Restore (AIR (http://air-imager.sourceforge.net/))
Ещё раз для тех, кто в танке? По-прежнему page not found.
Дальше не смотрел.
http://air-imager.sourceforge.net/
AIR - Automated Image and Restore
Last Update: 2013-04-26свежак!
http://sourceforge.net/projects/byteinvestigato/
Byte Investigator
Last Update: 2015-04-26еще свежак!
>> Fiwalk (http://domex.nps.edu/deep/Fiwalk.html)
>Принудительный HTTPS, сертификат выдан недоверенным УЦ.Да ладно тебе! Отличные парни выпустили сертификат!
OU = DoD
O = U.S. Government
C = US
[1]центр сертификации
URL=http://crl.disa.mil/sign/DODIDSWCA_37.cer
>SSdeepперцептивный хеш, полезен для поиска полиморфной малвари
>HDSentinel
проприетарная утилита для смарт-мониторинга. Чем smartmontools не угодил - не ясно.
> Fiwalk
> nps.edu
> eduСтудентота пишет, судя по всему.
https://github.com/sleuthkit/sleuthkit/tree/master/tools/fiwalk
> Bulk Extractor
https://github.com/simsong/bulk_extractor/wiki
> program that scans a disk image, a file, or a directory of files and extracts useful information without parsing the file system or file system structures.Не очень понял зачем это нужно.
Не работает полностью sourceforge.net, а не конкретные проекты.
Хотя в Tor Browser все работает. Либо у конкретных провайдеров проблемы, либо в России.
> Хотя в Tor Browser все работает.пока 1е ноября не наступило - да, работает
>Либо у конкретных провайдеров проблемы, либо в России.
И то, и другое. Думаешь провайдеры рады законы Яровой выполнять, за свой счёт подсостему цензуры содержать и уровень своего сервиса занижать?
> Выпуск построен на пакетной базе Ubuntu 16.04Они там хоть http://forensicswiki.org/wiki/Forensic_Live_CD_issues починили или всё по-брежнему и нормально сделано едва ли не только в http://altlinux.org/rescue? А то ведь можно разложить таких "мин" по носителям, сующим нос в которые охота нос прищемить, и вместо stage2 иных таких вот тулзов, включая платные, будет загружен и выполнен произвольный код хозяина данных.
Когда ты уже научишься подавать свой рекламный спам красиво?
подача подачей, а вопрос то по существу
Совковые мозги способны порождать только уродство и уныние
Руки тянутся сразу опробовать и сдерживает только мысль что для начала не мешало бы как-то удостовериться, не оставит ли сам этот live чего-нибудь после проверки :)
обычно работают с копией данных на виртуальном железе, простые ребята вообще такой объём тянуть не будут
Логично :)
Интересно было бы ещё узнать, как работают с анализом данных, от результатов которых могут быть те или иные юридические последствия, а потом ещё и дают возможность судьям/присяжным удостовериться в том, что действительно не было никаких манипуляций :))
И удостовериться также, что сами проанализированные данные остались в том же виде, какими были на момент их изъятия :)))
А то как-то всё оно у всех нас теперь выглядит так подозрительно, ну, типа: "Баба Маня сказала, а не доверять бабе Мане у нас нет оснований даже полагать" ))
анализ сможет заметить паттерны фальсификации, достоверные участки массива, взаимосвязи hex-наборов при глубокой обработке, просто это надо выгуглить и перевести транслэйтом
в зависимости от хода расследования устройство может вообще не фигурировать в процессе, в любом случае носитель должен извлекаться до подачи питания, ятд
Чтобы стало ещё более понятно, о чём это я: наверное, было бы забавно, если бы доказательства всех жутких преступлений Чикатило представили перед Высоким Судом в шестнадцатиричном представлении :)))
Да неужели! Будет чем восстанавливать данные