NOVINKA! CAINE 11.0 „Wormhole“ je venku!
Oficiální nejnovější vydání distribuce CAINE GNU/Linux
CAINE (Computer Aided INvestigative Environment) je italská live distribuce GNU/Linuxu vytvořená jako projekt Digital Forensics
V současné době je vedoucím projektu Nanni Bassetti (Bari – Itálie).
CAINE nabízí kompletní forenzní prostředí, které je organizováno tak, aby integrovalo stávající softwarové nástroje jako softwarové moduly a poskytovalo přívětivé grafické rozhraní.
Hlavní cíle návrhu, které má CAINE zaručit, jsou následující:
- interoperabilní prostředí, které podporuje digitálního vyšetřovatele během čtyř fází digitálního vyšetřování
- uživatelsky přívětivé grafické rozhraní
- uživatelsky přívětivé nástroje
Doporučujeme vám pozorně si přečíst stránku o zásadách CAINE.
CAINE plně reprezentuje ducha filozofie Open Source, protože projekt je zcela otevřený, každý mohl převzít odkaz předchozího vývojáře nebo vedoucího projektu. Distribuce je open source, na straně Windows je freeware a v neposlední řadě je distribuce instalovatelná, čímž dává možnost ji přebudovat v nové značkové verzi, čímž dává tomuto projektu dlouhý život …..
Nanni Bassetti
Zvláštní poděkování patří: Raul Capriotti, Aniello Luongo, Lorenzo Faletra, Andrea Lazzarotto
CHANGELOG CAINE 11.0 „Wormhole“
Jádro 5.0.0-32
Založeno na Ubuntu 18.04 64BIT – UEFI Ready!
CAINE 11.0 může bootovat na Uefi/Uefi/Legacy Bios/Bios.
Pokud se secureboot nezdařil, zkuste ho vypnout z UEFI.
Pokud chcete vytvořit hybridní obraz, zkuste toto:
isohybrid -u caine11.0.iso
Důležitou zprávou je, že CAINE 11.0 blokuje všechna bloková zařízení (např. /dev/sda), a to v režimu pouze pro čtení. Můžete použít nástroj s grafickým uživatelským rozhraním s názvem Unblock přítomný na pracovní ploše CAINE.
Tato nová metoda blokování zápisu zajišťuje, že všechny disky jsou skutečně chráněny před náhodnými operacemi zápisu, protože jsou uzamčeny v režimu Read-Only.
Pokud potřebujete na disk zapisovat, můžete jej odblokovat pomocí nástroje UnBlock nebo pomocí nástroje „Mounter“ změnou zásad v režimu zápisu. 
CAINE je při zavádění systému vždy rychlejší.
CAINE 11.0 umí bootovat do paměti RAM (toram).
INSTALACE CAINE: UnBlock (blockdev) uvede zařízení do režimu WRITABLE -> použijte Ubiquity -> Vyberte instalaci systému -> Vyberte uživatele: CAINE heslo: CAINE host: CAINE -> Go!
Ubiquity je instalační program, i když u starých počítačů se systémem BIOS je třeba po skončení Ubiquity spustit BootRepair!!!
Poté po prvním spuštění spusťte Grub Customizer a do bootovací nabídky dejte RW místo RO.
DOPLNĚNO/ZMĚNĚNO:
DŮLEŽITÉ ZMĚNY:
Všechna zařízení jsou standardně blokována v režimu pouze pro čtení.
Nové nástroje, nový OSINT, Autopsy 4.13 na palubě, APFS ready,BTRFS forenzní nástroj, NVME SSD ovladače ready!
SSH server ve výchozím nastavení vypnut (pro jeho zapnutí viz manuálová stránka).
SCRCPY – screen vašeho android zařízení
Autopsy 4.13 + další pluginy od McKinnon.
X11VNC Server – pro vzdálené ovládání CAINE.
hashcat
NOVÉ SKRIPTY (Forenzní nástroje – nabídka Analýza)
AutoMacTc – forenzní nástroj pro Mac.
Bitlocker – plugin pro volatilitu
Autotimeliner – automatická extrakce forenzní časové osy z výpisů volatilní paměti.
Firmwalker – analyzátor firmwaru.
CDQR – Cold Disk Quick Response tool
mnoho dalších oprav a aktualizací softwaru.
mnoho a mnoho skriptů a programů….
Strana Windows:
CAINE má Windows IR/Live forenzní nástroje.
Nové vydání Arsenal Image Mounter od Arsenal Recon
Pokud to potřebujete, můžete použít preferovaný IR/Live forenzní rámec a změnit nástroje ve svém pendrive.
————————————————
NOVÝ RBFstab a Mounter
1) „rbfstab“ je nástroj, který se aktivuje při startu systému nebo při připojení zařízení. Do souboru /etc/fstab zapisuje záznamy pouze pro čtení, takže zařízení jsou bezpečně připojena pro forenzní zobrazování/zkoumání. Instaluje se sám pomocí ‚rbfstab -i‘ a lze jej zakázat pomocí ‚rbfstab -r‘. Obsahuje mnoho vylepšení oproti minulým inkarnacím rebuildfstab. Rebuildfstab je tradičním prostředkem pro připojování pouze pro čtení v distribucích zaměřených na forenzní analýzu.
2) „mounter“ je nástroj pro připojování s grafickým uživatelským rozhraním, který se nachází v systémové liště. Klepnutím levým tlačítkem myši na ikonu jednotky v systémové liště se aktivuje okno, ve kterém může uživatel vybrat zařízení k připojení nebo odpojení. Při aktivovaném rbfstab jsou všechna zařízení, kromě těch s označením svazku „RBFSTAB“, připojena pouze pro čtení na zařízení smyčky. Připojení blokových zařízení v aplikaci Caja (souborový prohlížeč) není pro běžného uživatele s aktivovaným rbfstab možné, čímž se mounter stává pro uživatele konzistentním rozhraním.
Mounter je aplikace pro připojování disků, která se spouští v systémové liště. Obecné informace:
Zelená ikona disku znamená, že systém je BEZPEČNÝ a připojí zařízení READ-ONLY na zařízení smyčky.
Červená ikona disku znamená POZOR, připojená zařízení budou WRITEABLE.
V CAINE 8.0 může mounter odemykat a zamykat bloková zařízení v režimu Read-Only.
Instrukce:
Kliknutím levým tlačítkem myši na ikonu disku připojíte zařízení.
Kliknutím pravým tlačítkem myši na ikonu disku změníte zásady připojování systému.
Kliknutím prostředním tlačítkem myši aplikaci mounter zavřete. Opětovné spuštění z nabídky.
Změny zásad připojování nebudou mít na připojená zařízení vliv. Ovlivněny budou pouze následné operace připojování.
od John Lehr
Živý náhled skriptů Caja
CAINE obsahuje skripty aktivované v rámci webového prohlížeče Caja určené k jednoduchému zkoumání přidělených souborů. V současné době mohou skripty vykreslovat mnoho databází, internetové historie, registry systému Windows, smazané soubory a extrahovat data EXIF do textových souborů pro snadné zkoumání. Nástroj Rychlé zobrazení automatizuje tento proces určením typu souboru a jeho vykreslením pomocí příslušného nástroje.
Skripty živého náhledu Caja také umožňují snadný přístup ke správcovským funkcím, jako je například umožnění zápisu připojeného zařízení, vysazení do shellu nebo otevření okna Caja s právy správce. Skript „Uložit jako důkaz“ zapíše vybraný soubor (vybrané soubory) do složky „Důkazy“ na pracovní ploše a vytvoří textovou zprávu o souboru obsahující metadata souboru a případný komentář vyšetřovatele.
Součástí sady nástrojů je jedinečný skript „Identify iPod Owner“. Tento skript zjistí připojené a namontované zařízení iPod, zobrazí metadata o zařízení (aktuální uživatelské jméno, sériové číslo zařízení atd.). Vyšetřovatel má možnost prohledat přidělené multimediální soubory a nepřidělený prostor pro informace o uživateli iTunes přítomné v médiích zakoupených prostřednictvím obchodu Apple iTunes, tj. skutečné jméno a e-mailovou adresu.
Skripty živého náhledu jsou ve fázi vývoje. Je možné vytvořit mnoho dalších skriptů a vylepšit stávající skripty. Vývojáři CAINE uvítají požadavky na funkce, hlášení chyb a kritiku.
Skripty náhledu vznikly z touhy zjednodušit získávání důkazů pro každého vyšetřovatele se základními počítačovými dovednostmi. Umožňují vyšetřovateli získat základní důkazy na podporu vyšetřování, aniž by potřeboval pokročilé školení v počítačové forenzní technice nebo čekal na počítačovou forenzní laboratoř. Počítačové forenzní laboratoře mohou používat skripty pro třídění zařízení a zbytek sady nástrojů CAINE pro úplné forenzní zkoumání!
John Lehr
——————————————
Patch pro podvržení kořenového souborového systému
Patch mění způsob, jakým Casper vyhledává spouštěcí médium. Ve výchozím nastavení bude Casper při zavádění systému (ve fázi, kdy se systém snaží najít zaváděcí médium se správným obrazem kořenového souborového systému – protože běžné zavaděče nepředávají operačnímu systému v konfiguracích Live CD žádné údaje o médiích použitých pro zavádění) hledat pevné disky, jednotky CD/DVD a některá další zařízení. Naše oprava je implementována pro CD/DVD verze CAINE a umožňuje kontrolu pouze CD/DVD v Casperu. To řeší chybu, kdy Casper vybíral a zaváděl falešné obrazy kořenového souborového systému na evidenčních médiích (pevných discích atd.). —
Suhanov Maxim
Strana Windows
CAINE má IR/Live forenzní nástroje pro Windows.
Pokud je potřebujete, můžete použít IR/Live forenzní rámec, který preferujete, a změnit nástroje ve svém pendrive.
.