NYT! CAINE 11.0 “Wormhole” er ude!
Officiel CAINE GNU/Linux-distro seneste udgave.
CAINE (Computer Aided INvestigative Environment) er en italiensk GNU/Linux live-distribution, der er oprettet som et projekt for digital kriminalteknik
På nuværende tidspunkt er projektleder Nanni Bassetti (Bari – Italien).
CAINE tilbyder et komplet kriminalteknisk miljø, der er organiseret til at integrere eksisterende softwareværktøjer som softwaremoduler og til at give en venlig grafisk grænseflade.
De vigtigste designmål, som CAINE har til formål at garantere, er følgende:
- et interoperabelt miljø, der støtter den digitale efterforsker i de fire faser af den digitale efterforskning
- en brugervenlig grafisk grænseflade
- brugervenlige værktøjer
Vi anbefaler, at du læser siden om CAINE’s politikker grundigt igennem.
CAINE repræsenterer fuldt ud ånden i Open Source-filosofien, fordi projektet er helt åbent, og alle kunne tage arven fra den tidligere udvikler eller projektleder til sig. Distroen er open source, Windows-siden er freeware, og sidst men ikke mindst er distroen installerbar, hvilket giver mulighed for at genopbygge den i en ny mærkeversion, og dermed giver projektet et langt liv ….
Nanni Bassetti
SÆRLIGT TAK TIL: Raul Capriotti, Aniello Luongo, Lorenzo Faletra, Andrea Lazzarotto
CHANGELOG CAINE 11.0 “Wormhole”
Kernel 5.0.0.0-32
Baseret på Ubuntu 18.04 64BIT – UEFI Ready!
CAINE 11.0 kan starte op på Uefi/Uefi/Legacy Bios/Bios.
Hvis secureboot mislykkedes, så prøv at deaktivere det fra UEFI.
Hvis du ønsker at oprette et hybrid-image, så prøv dette:
isohybrid -u caine11.0.iso
Den vigtige nyhed er, at CAINE 11.0 blokerer alle blok-enheder (f.eks. /dev/sda), i Read-Only-tilstand. Du kan bruge et værktøj med en GUI ved navn Unblock, der findes på CAINE’s skrivebord.
Denne nye skriveblokkeringsmetode sikrer, at alle diske virkelig er beskyttet mod utilsigtede skriveoperationer, fordi de er låst i skrivebeskyttet tilstand.
Hvis du har brug for at skrive på en disk, kan du låse den op med UnBlock eller ved hjælp af “Mounter”, der ændrer politikken i skrivbar tilstand. 
CAINE er altid mere hurtig under opstart.
CAINE 11.0 kan boote til RAM (toram).
INSTALLERING af CAINE: UnBlock (blockdev) sætter enheden i WRITABLE mode -> brug Ubiquity -> vælg System Install -> vælg bruger: CAINE password: CAINE host: CAINE -> Go!
Ubiquity er installationsprogrammet, selv om du for gamle BIOS-baserede computere skal køre BootRepair efter afslutningen af Ubiquity!.
Så efter den første opstart skal du køre Grub Customizer og sætte RW i stedet for RO i opstartsmenuen.
ADDED/CHANGED:
IMPORTANT CHANGES:
Alle enheder er blokeret i Read-Only-tilstand, som standard.
Nye værktøjer, ny OSINT, Autopsy 4.13 onboard, APFS klar, BTRFS forensisk værktøj, NVME SSD drivere klar!
SSH server deaktiveret som standard (se Manual side for at aktivere det).
SCRCPY – skærm din android enhed
Autopsy 4.13 + yderligere plugins af McKinnon.
X11VNC Server – til fjernstyring af CAINE.
hashcat
NYTTE SCRIPTS (Forensics Tools – Analysis menu)
AutoMacTc – et kriminalteknisk værktøj til Mac.
Bitlocker – volatilitetsplugin
Autotimeliner – udtrækker automatisk kriminalteknisk tidslinje fra flygtige hukommelsesdumps.
Firmwalker – firmwareanalysator.
CDQR – Cold Disk Quick Response tool
mange andre rettelser og softwareopdatering.
mange og mange scripts og programmer….
Windows Side:
CAINE har fået et Windows IR/Live forensics-værktøj.
Ny udgivelse af Arsenal Image Mounter fra Arsenal Recon
Hvis du har brug for det kan du bruge den IR/Live forensics ramme du foretrækker, ændre værktøjerne i dit pendrive.
————————————————
NEW RBFstab og Mounter
1) “rbfstab” er et værktøj, der aktiveres under opstart eller når en enhed er tilsluttet. Det skriver skrive skrivebeskyttede poster til /etc/fstab, så enhederne er sikkert monteret til retsmedicinsk billedbehandling/undersøgelse. Det installeres selv med “rbfstab -i” og kan deaktiveres med “rbfstab -r”. Den indeholder mange forbedringer i forhold til tidligere rebuildfstab-inkarnationer. Rebuildfstab er et traditionelt middel til skrivebeskyttet montering i kriminalteknisk orienterede distributioner.
2) “mounter” er et GUI-monteringsværktøj, der sidder i systembakken. Ved at venstreklikke på drevikonet i systembakken aktiveres et vindue, hvor brugeren kan vælge enheder, der skal monteres eller afmonteres. Når rbfstab er aktiveret, monteres alle enheder, undtagen dem med volumenmærket “RBFSTAB”, skrivebeskyttet på loop-enheden. Montering af blok-enheder i Caja (filbrowser) er ikke mulig for en normal bruger med rbfstab aktiveret, hvilket gør mounter til en ensartet grænseflade for brugerne.
Mounter er et program til montering af diske, der kører i systembakken. Generelle oplysninger:
Et grønt disksymbol betyder, at systemet er SIKKERT og vil montere enheder KUN LÆSE på loop-enheden.
Et rødt disksymbol betyder ADVARSEL, monterede enheder vil kunne skrives.
I CAINE 8.0 kan mounter låse op og låse blok-enheder i skrivebeskyttet tilstand.
Instruktioner:
Venstreklik på diskikonet for at montere en enhed.
Højreklik på diskikonet for at ændre systemets monteringspolitik.
Midtklik lukker mounter-applikationen. Genstart igen fra menuen.
De monterede enheder påvirkes ikke af ændringer i monteringspolitikken. Kun efterfølgende monteringsoperationer vil blive påvirket.
af John Lehr
Live Preview Caja Scripts
CAINE indeholder scripts, der aktiveres i Caja-webbrowseren, og som er designet til at gøre undersøgelsen af allokerede filer enkel. I øjeblikket kan scriptsene gengive mange databaser, internethistorier, Windows-registre, slettede filer og udtrække EXIF-data til tekstfiler for nem undersøgelse. Quick View-værktøjet automatiserer denne proces ved at bestemme filtype og rendere den med det relevante værktøj.
De live preview Caja-scripts giver også nem adgang til administrative funktioner, f.eks. ved at gøre en tilsluttet enhed skrivbar, ved at droppe til shell’en eller ved at åbne et Caja-vindue med administratorrettigheder. Scriptet “Save as Evidence” skriver den/de valgte fil(er) til en “Evidence”-mappe på skrivebordet og opretter en tekstrapport om filen, der indeholder filmetadata og en efterforskerkommentar, hvis det ønskes.
Et unikt script, “Identify iPod Owner”, er inkluderet i værktøjssættet. Dette script registrerer en tilsluttet og monteret iPod-enhed og viser metadata om enheden (aktuelt brugernavn, enhedens serienummer osv.). Undersøgeren har mulighed for at søge i allokerede mediefiler og ikke-allokeret plads efter iTunes-brugeroplysninger, der findes i medier købt gennem Apple iTunes Store, dvs. virkeligt navn og e-mail-adresse.
Scriptsene til live preview er under udarbejdelse. Mange flere scripts er mulige, ligesom forbedringer af de eksisterende scripts er mulige. CAINE-udviklerne modtager gerne anmodninger om funktioner, fejlrapporter og kritik.
Den preview scripts blev født fra et ønske om at gøre udvinding af beviser enkel for enhver efterforsker med grundlæggende computerfærdigheder. De gør det muligt for efterforskeren at få grundlæggende bevismateriale til støtte for efterforskningen uden behov for avanceret computerforensisk uddannelse eller vente på et computerforensisk laboratorium. Computerforeningslaboratorier kan bruge scriptsene til triage af enheder og resten af CAINE-værktøjssættet til en komplet retsmedicinsk undersøgelse!
John Lehr
——————————————
Root file system spoofing PATCH
Patchen ændrer den måde, hvorpå Casper søger efter bootmediet. Som standard vil Casper kigge på harddiske, cd/dvd-drev og nogle andre enheder under opstart af systemet (i den fase, hvor systemet forsøger at finde opstartsmediet med det korrekte rodfilsystembillede på det – fordi almindelige bootloadere ikke videregiver nogen data om medier, der bruges til opstart, til et operativsystem i Live CD-konfigurationer). Vores patch er implementeret til CD/DVD-versioner af CAINE og muliggør kun CD/DVD-kontroller i Casper. Dette løser fejlen, når Casper ville vælge og starte falske rodfilsystemimages på bevismedier (harddiske osv.). —
Suhanov Maxim
Windows-side
CAINE har fået en Windows IR/Live forensics tools.
Hvis du har brug for det, kan du bruge den IR/Live forensics-ramme, du foretrækker, og ændre værktøjerne i dit pendrive.