CAINE

CAINE (ambiente assistido por computador INvestigy) é uma distribuição GNU / Linux livremente distribuída e de código aberto, um sistema operacional orientado para desktop baseado no lançamento LTS (Long Term Support) mais recente do mundo & rsquo; a distribuição mais popular de Linux, Ubuntu e projetada para ser usada para operações de forense digital.

A distribuição CAINE pode ser baixada gratuitamente do Softoware como uma imagem ISO híbrida do DVD ao vivo que contém pacotes de software otimizados apenas para as plataformas de hardware de 64 bits (x86_64 / amd64). Sendo híbrido, a imagem ISO pode ser escrita em um disco de DVD em branco ou em uma unidade flash USB de capacidade de 4GB ou superior, permitindo que você inicialize o sistema operacional a partir do BIOS do seu computador.

No menu de inicialização, o usuário poderá iniciar o sistema ao vivo com configuração normal ou no modo de gráficos seguros, executar um teste de diagnóstico de memória do sistema (RAM), inicializar um sistema operacional existente a partir da unidade local, bem como para iniciar diretamente o instalador, alterar o idioma e adicionar parâmetros extras do kernel.

Xfce é responsável pela sessão gráfica

O ambiente de trabalho gráfico padrão e exclusivo do CAINE é o Xfce, que fornece aos usuários uma interface de recursos muito leve e de baixo custo, que usa um layout tradicional composto por um único painel transparente localizado na borda inferior da tela. O painel inclui vários widgets úteis, como o menu principal, um iniciador de aplicativos, um gerenciador de tarefas e a área da bandeja do sistema.

Sendo projetado desde o início para ser usado para operações forenses digitais, a distribuição CAINE vem pré-carregada com uma ampla gama de ferramentas que podem ser usadas para várias operações forenses digitais. Estes incluem Mobius, Autopsy, PhotoRec, QuickHash, TestDisk, XDview, FMount, NBTempo, Fred, Mounter do Sistema de Arquivos Remotos, Log2Timeline, TkDiff e XHFS.

O que é novo nesta versão:

• ADICIONADO / MUDADO no CAINE 9.0:
• RegRipper, VolDiff, SafeCopy, ferramentas PFF, pslistutil, mouseemu, NBTempoX, Osint: Infoga, The Harvester, Tinfoleak regfmount e libregf-utils instalados.
• muitos e muitos scripts e programas ....
• Servidor SSH desativado por padrão (consulte a página Manual para habilitá-lo).
• Autopsy 2.24 fixo - srch_strings alterado com "cadeias GNU & quot; renomeado em srch_strings.
• muitos outros que consertam e atualizam software.
• Lado do Windows:
• Windows Side com resposta de incidente / Análise ao vivo em sistemas Windows.
• Ferramentas: Nirsoft suite + launcher, WinAudit, MWSnap, Arsenal Image Mounter, FTK Imager, Hex Editor, JpegView, ferramentas de rede, NTFS Journal viewer, Photorec & TestDisk, QuickHash, NBTempoW, USB Write Protector, VLC, Windows File Analyzer .

O que há de novo na versão 8.0:

• Kernel 4.4.0-45
• Com base no Ubuntu 16.04 64BIT - UEFI / SECURE BOOT Pronto!
• O CAINE 8.0 pode inicializar no Uefi / Uefi + boot seguro / Legacy Bios / Bios.
• O SystemBack é o instalador.
• A notícia importante é que o CAINE 8.0 bloqueia todos os dispositivos de bloco (por exemplo / dev / sda), no modo Somente Leitura. Você pode usar uma ferramenta com uma GUI chamada BlockON / OFF presente no desktop do CAINE.
• Este novo método de bloqueio de escrita assegura que todos os discos são realmente preservados das operações de gravação acidental, porque estão bloqueados no modo Somente Leitura.
• Se você precisa escrever um disco, pode desbloqueá-lo com o BlockOn / Off ou usando o & quot; Mounter & quot; alterando a política em modo gravável.
• Outra novidade importante é o servidor VNC e o cliente, para controlar o CAINE do controle remoto e finalmente o CAINE é sempre mais rápido durante a inicialização.
• CAINE 8.0 pode inicializar para RAM (toram).
• ADICIONADO / MUDADO:
• IMG_MAP (imagem dd / raw e ewf mounter)
• XAll 1.5
• RecuperaBit
• SQLParse
• PEFrame
• Yara
• análise de PDF
• MemDump
• ADB e LibMobileDevice
• Gigolo (cliente do sistema de arquivos de rede)
• Shrew (gerenciador VPN)
• wxHexEditor
• Jeex
• XRCed
• PffLib
• Tilda
• imount, vhdimount e vhdiinfo
• samba
• vblade
• iscsitarget
• hashdb
• muitos e muitos scripts e programas
• NOVO RBFstab e Mounter:
• & quot; rbfstab & quot; é um utilitário que está ativado durante a inicialização ou quando um dispositivo está conectado. Ele grava entradas somente leitura em / etc / fstab para que os dispositivos sejam montados com segurança para imagens / exames forenses. É autoinstalar com 'rbfstab -i' e pode ser desativado com 'rbfstab -r'. Ele contém muitas melhorias sobre as encarnações anteriores do reconstruir. Rebuildfstab é um meio tradicional para montagem somente leitura em distribuições orientadas para forense.
• & quot; mounter & quot; é uma ferramenta de montagem GUI que fica na bandeja do sistema. Clicar com o botão esquerdo no ícone da unidade da bandeja do sistema ativa uma janela onde o usuário pode selecionar dispositivos para montar ou desmontar. Com o rbfstab ativado, todos os dispositivos, exceto aqueles com etiqueta de volume "RBFSTAB", são montados somente leitura no dispositivo de loop. Os dispositivos de bloqueio de montagem na Caja (navegador de arquivos) não são possíveis para um usuário normal com o rbfstab ativado fazendo do mounter uma interface consistente para os usuários.
• O Mounter é um aplicativo de montagem em disco que é executado na bandeja do sistema.
• Live Preview Caja Scripts:
• A CAINE inclui scripts ativados no navegador da Caja projetado para fazer o exame de arquivos alocados simples. Atualmente, os scripts podem renderizar muitos bancos de dados, históricos da internet, registros do Windows, arquivos excluídos e extrair dados EXIF ​​para arquivos de texto para um exame fácil. A ferramenta Visualização rápida automatiza esse processo determinando o tipo de arquivo e tornando-o com a ferramenta apropriada.
• A visualização ao vivo Os scripts da Caixa também fornecem acesso fácil às funções administrativas, como fazer um dispositivo conectado gravável, caindo no shell ou abrir uma janela de Caixa com privilégios de administrador. O & quot; Save as Evidence & quot; script irá escrever o (s) arquivo (s) selecionado (s) para um "Comprovante" na área de trabalho e crie um relatório de texto sobre o arquivo contendo metadados do arquivo e um comentário do investigador, se desejado.
• Um script exclusivo, & quot; Identify iPod Owner & quot ;, está incluído no conjunto de ferramentas. Este script detectará um dispositivo iPod anexado e montado, exibirá metadados sobre o dispositivo (nome de usuário atual, número de série do dispositivo, etc.). O investigador tem a opção de pesquisar arquivos de mídia alocados e espaço não alocado para informações de usuários do iTunes presentes em mídias compradas na loja iTunes da Apple, ou seja, Nome Real e endereço de e-mail.
• Os scripts de visualização ao vivo são um trabalho em andamento. Muitos scripts são possíveis, assim como as melhorias nos scripts existentes. Os desenvolvedores da CAINE recebem solicitações de recursos, relatórios de erros e críticas.
• Os scripts de pré-visualização nasceram do desejo de tornar a extração de evidências simples para qualquer investigador com habilidades básicas de informática. Eles permitem que o investigador obtenha evidências básicas para apoiar a investigação sem a necessidade de treinamento avançado em forense de computador ou aguardando um laboratório de medicina forense. Os laboratórios de forense de computador podem usar os scripts para a triagem do dispositivo e o restante do conjunto de ferramentas do CAINE para um exame forense completo.
• spoofing do sistema de arquivos raiz PATCH:
• O patch altera a forma como o Casper procura a mídia de inicialização. Por padrão, o Casper examinará as unidades de disco rígido, as unidades de CD / DVD e alguns outros dispositivos durante a inicialização do sistema (durante o estágio em que o sistema tenta encontrar a mídia de inicialização com a imagem correta do sistema de arquivos raiz - porque os bootloaders comuns não passar todos os dados sobre a mídia usada para inicializar em um sistema operacional nas configurações de CD ao vivo). Nosso patch é implementado para versões de CD / DVD do CAINE e permite cheques de CD / DVD somente no Casper. Isso resolve o erro quando o Casper selecionaria e inicializava imagens falsas do sistema de arquivos raiz em mídia de evidência (unidades de disco rígido, etc.).

O que é novo na versão 7.0:

• Kernel 3.13.0-66
• Com base no Ubuntu 14.04.1 64BIT - UEFI / SECURE BOOT Pronto!
• O Caine 7.0 pode inicializar no Uefi / Uefi + boot seguro / Legacy Bios / Bios.
• O SystemBack é o instalador.
• A notícia importante é que o CAINE 7.0 bloqueia todos os dispositivos de bloco (por exemplo / dev / sda), no modo Somente Leitura. Você pode usar uma ferramenta com uma GUI chamada BlockON / OFF presente no Caine's Desktop.
• Este novo método de bloqueio de escrita assegura que todos os discos são realmente preservados das operações de gravação acidental, porque estão bloqueados no modo Somente Leitura.
• Se você precisa escrever um disco, pode desbloqueá-lo com o BlockOn / Off ou usando o & quot; Mounter & quot; alterando a política em modo gravável.
• Outra novidade importante é o servidor VNC e o cliente, para controlar o Caine do controle remoto e, finalmente, Caine é sempre mais rápido durante a inicialização.
• Caine 7.0 pode inicializar para RAM (toram).
• ADICIONADO / MUDADO:
• fixo FMOUNT
• XAll
• BTCScan (scanner Bitcoin)
• dmraid
• okteta
• servidor x11vnc
• gvncviewer
• ssh
• openssh
• wput
• unBlock (bloco em dispositivos de bloco RO / RW)
• mount-nfs
• scalpel 2.1
• novo peframe
• damm
• find_times
• parse_VSS_RFC
• 4n6 scripts atualizados
• quickhash atualizado
• BleachBit
• Couro
• vshot
• zulucrypt
• ddrescue-gui
• ddrescueView
• utilitário dd
• iloot
• python_regparse
• libmobiledevice
• ifuse
• ddrescueview
• INDEXparse.py, Shellbags.py, evtxexport.py, extxinfo.py
• cliente NFS.

O que há de novo na versão 6.0:

• solicitação de senha fixa em polkit
• solicitação de senha fixa em textmode e tty
• Bash bug corrigido shellshock
• política de montagem sempre no modo ro e loop
• fstrim desabilitado (habilite descomprimir a linha em /etc/cron.weekly/fstrim)
• autópsia corrigida por Maxim Suhanov
• (gerenciamento de diretórios HFS fixo,
• Manejo do sistema de volume do Sun VTOC fixo,
• timestamps incorretos (que são iguais a zero) são tratados como 01/01/1970 00:00:00)
• gzrt
• img_map
• photorec gui
• undbx
• ddrescueview
• gddrescue
• disktype
• Peframe
• quickhash
• BEViewer Bulk Extractor
• ddrutility
• ataraw
• frag_find
• log2timeline plaso - supertimeline
• tinfoleak
• dumper de memória inicial por firewire
• volatilidade
• 4n6-scripts
• boot-repair
• grub-customizer
• Drivers da placa sem fio da Broadcom Corporation BCM4313

O que é novo na versão 5.0:

• Kernel 3.8.0-35
• Com base no Ubuntu 12.04.3 64BIT - UEFI / SECURE BOOT Ready!
• O Caine 5.0 no pendrive pode inicializar no Uefi / Uefi + boot seguro / Legacy Bios / Bios.
• Caine 5.0 em DVD pode inicializar no Legacy Bios / Bios.
• O SystemBack é o novo instalador.
• Caine tem um novo logotipo, graças ao Sr. Nino Salvati.
• ADICIONADO / MUDADO:
• gimp
• libfusedev
• fileinfo 0.6
• traceroute
• sdparm
• log2timeline 0.64
• rdiff
• mdbtool
• undbx
• readdbx
• myrescue
• libshadow vshadowmount
• zfs-fuse
• fmount
• rdd
• unhide
• ext3grep
• e2undel
• recover
• bulk_extractor
• gzrecover
• dislocker
• undbx
• aoetools
• boot-repair
• grub-customizer
• Drivers da placa sem fio da Broadcom Corporation BCM4313

O que é novo na versão 3.0:

• Kernel 3.2.0-32
• MATE 1.4
• iphonebackupanalyzer
• exiftool phil harvey
• tcpflow
• tshark
• john
• wireshark
• firefox
• vinetto
• mdbtool
• gdisk
• LVM2
• tcpdump
• Mobius
• QuickHash
• SQLiteBrowser
• FRED
• docanalyzer
• nerohistanalyzer
• knowmetanalyzer
• PEFrame
• grokEVT
• zenmap (nmap)
• ferramentas blackberry
• Ferramentas IDevice

Novo NAUTILUS SCripts