The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Вышел CAINE 8.0, дистрибутив для выявления скрытых данных

31.10.2016 23:50

Сформирован релиз CAINE 8.0 (Computer Aided INvestigative Environment), специализированного Live-дистрибутива, предназначенного для проведения криминалистического анализа, поиска скрытых и удалённых данных на дисках и выявления остаточной информации для восстановления картины взлома системы. Дистрибутив основан на Ubuntu и оснащён единым графическим интерфейсом на базе оболочки MATE для управления набором разноплановых утилит по исследованию Unix и Windows систем. Размер загрузочного iso-образа 2.8 Гб (x86_64).

В состав входят такие средства, как GtkHash, Air, SSdeep, HDSentinel (Hard Disk Sentinel), Bulk Extractor, Fiwalk, ByteInvestigator, Automated Image & Restore (AIR), Autopsy, Foremost, Scalpel, Sleuthkit, Guymager, DC3DD. Также стоит отметить специально разработанную в рамках проекта систему WinTaylor для досконального анализа Windows-систем и генерации подробных отчётов о всех зафиксированных аномалиях. В состав также входит подборка вспомогательных скриптов для файлового менеджера Caja (форк Nautilus), которые позволяют выполнить широкий спектр проверок дискового раздела или директории, а также посмотреть список удалённых файлов и разобрать структурированный контент, такой как история посещений браузера, реестр Windows, изображения с метаданными EXIF.

Новый выпуск примечателен обновлением до пакетной базы Ubuntu 16.04, задействованием ядра Linux Kernel 4.4 и реализацией возможности загрузки Live-образа в оперативную память. Сборка адаптирована для использования на системах с UEFI и Secure Boot. В интерфейс монтирования накопителей добавлена возможность временного перевода блочных устройств в режим только для чтения, чтобы исключить случайное повреждение данных в процессе работы. Из добавленных приложений отмечены: IMG_MAP (монтирование дисковых образов), XAll 1.5, RecuperaBit, SQLParse, PEFrame, Yara, PDF analysis, MemDump, ADB, LibMobileDevice, Gigolo (клиент сетевой ФС), Shrew (VPN manager), wxHexEditor, Jeex, XRCed, PffLib, imount, vhdimount, vhdiinfo, samba, vblade, iscsitarget, hashdb и Tilda.

  1. Главная ссылка к новости (http://www.caine-live.net/page...)
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/45404-caine
Ключевые слова: caine
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (13) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.6, Аноним (-), 02:30, 01/11/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ну и обои - я такую обводку в 6 классе в 90-ые делал!
     
     
  • 2.11, Аноним (-), 06:56, 01/11/2016 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Вам шашечки или ехать?
     

  • 1.9, Анином (?), 04:53, 01/11/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А дистра "Павлик Морозов" не ожидается?
     
     
  • 2.12, Анонимс (?), 08:18, 01/11/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    "Когда я чего то хочу, то я добьюсь это с такой скоростью с какой вам это не снилось"
    Попов Д.
     
     
  • 3.14, Дегенератор (?), 09:58, 01/11/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    и ведь так и было
     

  • 1.15, Ващенаглухо (ok), 10:52, 01/11/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Что бы надежно спрятать порно, шифруйте диск без luks-a, как plain
     
     
  • 2.17, Аноним (-), 12:05, 01/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    А зачем ты смотришь порно? Прелюбодей?
     
     
  • 3.18, Аноним (-), 12:09, 01/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Может он показывает?
     
  • 3.22, Аноним (-), 17:52, 01/11/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    И в самом деле, почему люди это делают? Ради кратковременного удовольствия? Это ужасно.
     
     
  • 4.24, Led (ok), 23:35, 01/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > И в самом деле, почему люди это делают? Ради кратковременного удовольствия? Это
    > ужасно.

    Прикинь: некоторые ужастики смотрят ради кратковременного удовольствия. Это эротично?

     

  • 1.20, hoopoe (ok), 17:05, 01/11/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    а с SSD диска с включенным тримом вообще реально хоть что-то снять? в том смысле что файло удалили, и система прошла по нему тримом, эти данные реально восстановить?
     
     
  • 2.21, КО (?), 17:21, 01/11/2016 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Трим это лишь разрешение стереть. Когда стирать он не говорит. После вряд ли.
    Теоретически SSD-шки понимают secure erase (собственно эта команда работала и до появления trim)
     
  • 2.23, Аноним (-), 23:13, 01/11/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    C SSD невозможно гарантированно стереть. Поскольку, при перезаписывании файла контроллер вполне может новые данные писать не в те блоки, где хранится файл (с целью равномерного износа ячеек). А файл стереть потом при очередной сборке мусора. Когда-нибудь.

    И невозможно гарантированно восстановить. Потому что уже сборка мусора могла произойти, пока вы спохватились и начали восстановление. А контроллер ещё и постоянно тасует блоки, чтобы обновлять заряд в ячейках (если неизменяемые данные не трогать, они через N недель уже хреново читаются - заряд утёк). Даже, если вы отключили диск средствам ОС, пока питание поступает - контроллер занимается своими вышеописанными служебными делами.

    Это всё, если речь идёт про обычное форматирование, затирание через dd и так далее. Secure Erase (в идеале) делает данные невосстановимыми. Причём, эта операция их тоже не затирает. Все данные на SSD и флешках хранятся зашифрованными. В простых случаях - обычным XOR-ом. В сложных (контроллер нужен мощнее и дороже) - AES. Чтобы чередование 0 и 1 было примерно равномерным. Если выпаять микросхемы памяти и считывать их напрямую - всё будет плохо, там каша (пример: http://www.hardmaster.info/news14/29-09-2014.html Вообще блог офигенный, автор, конечно, старается не выдавать конкретную инфу, поскольку это его хлеб, сервисмены эту инфу либо покупают друг у друга, либо меняются, но общими принципами делится охотно). Чтобы контроллер знал, чего где в каком порядке лежит и как оно закодировано - он использует таблицы. Вот эти таблицы, чаще всего, и затираются.

    TRIM это лишь сообщение от операционки контроллеру "содержимое таких-то блоков больше не нужно". Как и когда контроллер этим знанием воспользуется - зависит от его прошивки.

    Подробнее - https://habrahabr.ru/post/115349/

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру