Hàng Khủng Cho CHFI : CAINE 11.0

SANS SIFT Workstation được lăng xê là Công cụ 10.000 $ nhưng cho xài FREE

Nhưng tôi thấy CAINE xài sướng hơn, còn thích thế nào các bạn nên thử và trai nghiệm

CAINE 11.0 “Wormhole” 64bit
Bản phát hành mới nhất của CAINE GNU / Linux chính thức.

CAINE (Computer Aided INvestigative Environment) là một bản phân phối trực tiếp GNU / Linux của Ý được tạo ra dưới dạng một dự án Digital Forensics. Hiện tại người quản lý dự án là Nanni Bassetti (Bari – Ý).
CAINE cung cấp một môi trường pháp y số hoàn chỉnh được tổ chức để tích hợp các công cụ phần mềm hiện có dưới dạng mô-đun phần mềm và cung cấp giao diện đồ họa thân thiện.
Các mục tiêu thiết kế chính mà CAINE hướng tới để đảm bảo như sau:

  • một môi trường tương thích hỗ trợ điều tra viên kỹ thuật số trong bốn giai đoạn của điều tra kỹ thuật số
  • giao diện đồ họa thân thiện với người dùng
  • công cụ thân thiện với người dùng

Chúng tôi khuyên bạn nên đọc kỹ trang về các chính sách của CAINE .

CAINE thể hiện đầy đủ tinh thần của triết lý Nguồn mở , bởi vì dự án hoàn toàn mở, mọi người đều có thể tiếp nhận di sản của nhà phát triển hoặc người quản lý dự án trước đó. Bản phân phối là mã nguồn mở, phía Windows là phần mềm miễn phí và điều cuối cùng nhưng không kém phần quan trọng, bản phân phối có thể cài đặt được, do đó tạo cơ hội để xây dựng lại nó trong một phiên bản thương hiệu mới, vì vậy sẽ mang lại tuổi thọ lâu dài cho dự án này ….

Nanni Bassetti
CHÂN THÀNH CẢM ƠN: Raul Capriotti, Aniello Luongo, Lorenzo Faletra, Andrea Lazzarotto

CHANGELOG CAINE 11.0 “Lỗ giun”

Kernel 5.0.0-32
Dựa trên Ubuntu 18.04 64BIT – Sẵn sàng cho UEFI!

CAINE 11.0 có thể khởi động trên Uefi / Uefi / Legacy Bios / Bios.


Nếu khởi động an toàn không thành công, hãy thử vô hiệu hóa nó khỏi UEFI.

Nếu bạn muốn tạo một hình ảnh kết hợp, hãy thử cách này:
isohybrid -u caine11.0.iso

Một điều quan trọng là CAINE 11.0 chặn tất cả các thiết bị khối (ví dụ / dev / sda), ở chế độ Chỉ đọc. Bạn có thể sử dụng một công cụ có GUI có tên là Bỏ chặn hiện diện trên Máy tính của CAINE.
Phương pháp chặn ghi mới này đảm bảo tất cả các đĩa thực sự được bảo vệ khỏi các thao tác ghi vô tình, vì chúng bị khóa ở chế độ Chỉ đọc.
Nếu bạn cần ghi đĩa, bạn có thể mở khóa bằng UnBlock hoặc sử dụng “Mounter” để thay đổi chính sách ở chế độ có thể ghi.



CAINE luôn nhanh hơn trong quá trình khởi động.
CAINE 11.0 có thể khởi động vào RAM (toram).
CÀI ĐẶT CAINE: Mở khóa (blockdev) đặt thiết bị ở chế độ WRITABLE -> sử dụng Ubiquity -> Chọn System Install -> Chọn user: CAINE password: CAINE host: CAINE -> Go!
Ubiquity là trình cài đặt, ngay cả khi đối với các máy tính sử dụng BIOS cũ, bạn cần phải chạy BootRepair sau khi kết thúc Ubiquity !.
Sau đó, sau lần khởi động đầu tiên, hãy chạy Grub Customizer và đặt RW thay vì RO vào menu khởi động.

THÊM / THAY ĐỔI:


NHỮNG THAY ĐỔI QUAN TRỌNG:

Theo mặc định, tất cả các thiết bị đều bị chặn ở chế độ Chỉ đọc.
Các công cụ mới, OSINT mới, Autopsy  4.13 tích hợp, sẵn sàng cho APFS, công cụ pháp y số BTRFS, trình điều khiển SSD NVME đã sẵn sàng!
Máy chủ SSH bị tắt theo mặc định (xem trang Hướng dẫn sử dụng để bật nó).
SCRCPY – sàng lọc thiết bị Android Tự động
Autopsy  4.13 + các plugin bổ sung của McKinnon.
Máy chủ X11VNC – để điều khiển CAINE từ xa.
hashcat
SCRIPTS MỚI (Công cụ pháp y số – Trình đơn phân tích)

AutoMacTc – một công cụ pháp y số cho Mac.
Bitlocker – plugin biến động
Autotimeliner – Tự động trích xuất dòng thời gian pháp y sốtừ các kết xuất bộ nhớ dễ bay hơi.
Firmwalker – máy phân tích phần sụn.
CDQR – Công cụ phản hồi nhanh trên đĩa lạnh,

nhiều công cụ sửa lỗi và cập nhật phần mềm khác.

nhiều và nhiều kịch bản và chương trình….

Windows Side:


CAINE có một công cụ pháp y số cho Windows IR / Live.
Bản phát hành mới của Trình gắn hình ảnh Arsenal của Arsenal Recon
Nếu cần, bạn có thể sử dụng khung pháp y IR / Live mà bạn thích, thay đổi các công cụ trong ổ đĩa của bạn.

————————————————

NEW RBFstab & Mounter


1) “rbfstab”là một tiện ích được kích hoạt trong khi khởi động hoặc khi thiết bị được cắm vào. Nó ghi các mục chỉ đọc vào / etc / fstab để các thiết bị được gắn kết an toàn để kiểm tra / chụp ảnh pháp y. Nó tự cài đặt với ‘rbfstab -i’ và có thể bị tắt bằng ‘rbfstab -r’. Nó chứa nhiều cải tiến so với các phiên bản tái tạo lại trước đây. Rebuildfstab là một phương tiện truyền thống để gắn chỉ đọc trong các bản phân phối định hướng pháp y.
2) “người gắn kết mounter”là một công cụ gắn GUI nằm trong khay hệ thống. Nhấp chuột trái vào biểu tượng ổ đĩa trên khay hệ thống sẽ kích hoạt một cửa sổ nơi người dùng có thể chọn thiết bị để gắn hoặc bỏ gắn. Với rbfstab được kích hoạt, tất cả các thiết bị, ngoại trừ những thiết bị có nhãn âm lượng “RBFSTAB”, được gắn chỉ đọc trên thiết bị lặp. Người dùng bình thường không thể gắn thiết bị khối trong Caja (trình duyệt tệp) với rbfstab được kích hoạt làm cho trình gắn kết trở thành một giao diện nhất quán cho người dùng.
Mounter là một ứng dụng gắn đĩa chạy trong khay hệ thống. Thông tin chung:

Biểu tượng đĩa màu xanh lục có nghĩa là hệ thống AN TOÀN và sẽ gắn các thiết bị CHỈ ĐỌC trên thiết bị vòng lặp. Biểu tượng đĩa màu đỏ có nghĩa là CẢNH BÁO, các thiết bị được gắn kết sẽ CÓ THỂ VIẾT ĐƯỢC.

Trong CAINE 8.0 mounter có thể mở khóa và khóa các thiết bị chặn ở chế độ Read-Only.


Hướng dẫn:

Nhấp chuột trái vào biểu tượng đĩa để gắn thiết bị.
Nhấp chuột phải vào biểu tượng đĩa để thay đổi chính sách gắn kết hệ thống.
Nhấp chuột giữa sẽ đóng ứng dụng trình gắn kết. Khởi chạy lại từ menu.

Các thiết bị được gắn kết sẽ không bị ảnh hưởng bởi các thay đổi về chính sách gắn kết. Chỉ các hoạt động lắp đặt tiếp theo sẽ bị ảnh hưởng.




Live Preview Caja Scripts


CAINE bao gồm các tập lệnh được kích hoạt trong trình duyệt web Caja được thiết kế để giúp việc kiểm tra các tệp được cấp phát trở nên đơn giản. Hiện tại, các tập lệnh có thể hiển thị nhiều cơ sở dữ liệu, lịch sử internet, sổ đăng ký Windows, tệp đã xóa và trích xuất dữ liệu EXIF ​​thành tệp văn bản để dễ dàng kiểm tra. Công cụ Quick View tự động hóa quá trình này bằng cách xác định loại tệp và hiển thị nó bằng công cụ thích hợp.


Các tập lệnh Caja xem trước trực tiếp cũng cung cấp khả năng truy cập dễ dàng vào các chức năng quản trị, chẳng hạn như làm cho một thiết bị đính kèm có thể ghi được, thả vào trình bao hoặc mở cửa sổ Caja với đặc quyền của quản trị viên. Tập lệnh “Lưu làm bằng chứng” sẽ ghi (các) tệp đã chọn vào thư mục “Bằng chứng” trên màn hình và tạo báo cáo văn bản về tệp chứa siêu dữ liệu tệp và nhận xét của người điều tra,
Một tập lệnh duy nhất, “Xác định chủ sở hữu iPod”, được bao gồm trong bộ công cụ. Tập lệnh này sẽ phát hiện một Thiết bị iPod đã được đính kèm và gắn kết, hiển thị siêu dữ liệu về thiết bị (tên người dùng hiện tại, số sê-ri thiết bị, v.v.). Điều tra viên có tùy chọn tìm kiếm các tệp phương tiện được phân bổ và không gian chưa được phân bổ cho thông tin người dùng iTunes có trong phương tiện được mua thông qua cửa hàng Apple iTunes, tức là Tên thật và địa chỉ email.
Các kịch bản xem trước trực tiếp đang được tiến hành. Có thể có nhiều tập lệnh khác cũng như các cải tiến đối với các tập lệnh hiện có. Các nhà phát triển CAINE hoan nghênh các yêu cầu tính năng, báo cáo lỗi và chỉ trích.
Các kịch bản xem trước được sinh ra từ mong muốn làm cho việc trích xuất bằng chứng trở nên đơn giản cho bất kỳ điều tra viên nào có kỹ năng máy tính cơ bản. Chúng cho phép điều tra viên có được bằng chứng cơ bản để hỗ trợ cuộc điều tra mà không cần đào tạo về pháp y máy tính nâng cao hoặc chờ đợi phòng thí nghiệm pháp y máy tính. Các phòng thí nghiệm pháp y trên máy tính có thể sử dụng các tập lệnh để phân loại thiết bị và phần còn lại của bộ công cụ CAINE để kiểm tra pháp y đầy đủ!
John Lehr
——————————————
Giả mạo hệ thống tệp gốc PATCH
Bản vá thay đổi cách Casper tìm kiếm phương tiện khởi động. Theo mặc định, Casper sẽ xem xét ổ đĩa cứng, ổ CD / DVD và một số thiết bị khác trong khi khởi động hệ thống (trong giai đoạn hệ thống cố gắng tìm phương tiện khởi động có hình ảnh hệ thống tệp gốc chính xác trên đó – bởi vì các bộ nạp khởi động thông thường không chuyển bất kỳ dữ liệu nào về phương tiện được sử dụng để khởi động vào hệ điều hành trong cấu hình Live CD). Bản vá của chúng tôi được triển khai cho các phiên bản CD / DVD của CAINE và cho phép kiểm tra chỉ CD / DVD trong Casper. Điều này giải quyết lỗi khi Casper sẽ chọn và khởi động các hình ảnh hệ thống tệp gốc giả mạo trên phương tiện xác nhận (ổ đĩa cứng, v.v.). —
Suhanov Maxim

Windows Side

đôi bên cùng có lợi

Trả lời

Please log in using one of these methods to post your comment:

WordPress.com Logo

Bạn đang bình luận bằng tài khoản WordPress.com Đăng xuất /  Thay đổi )

Google photo

Bạn đang bình luận bằng tài khoản Google Đăng xuất /  Thay đổi )

Twitter picture

Bạn đang bình luận bằng tài khoản Twitter Đăng xuất /  Thay đổi )

Facebook photo

Bạn đang bình luận bằng tài khoản Facebook Đăng xuất /  Thay đổi )

Connecting to %s