UUTUUS! CAINE 11.0 ”Wormhole” on julkaistu!
Official CAINE GNU/Linux distro latest release.
CAINE (Computer Aided INvestigative Environment) on italialainen GNU/Linux live-distribuutio, joka on luotu Digitaalisen rikostekniikan projektina
Tällä hetkellä projektin vastuuhenkilönä toimii Nanni Bassetti (Bari – Italia).
CAINE tarjoaa täydellisen rikosteknisen ympäristön, joka on järjestetty integroimaan olemassa olevia ohjelmistotyökaluja ohjelmistomoduuleina ja tarjoamaan ystävällinen graafinen käyttöliittymä.
Pääsuunnittelutavoitteet, jotka CAINE pyrkii takaamaan, ovat seuraavat:
- yhteentoimiva ympäristö, joka tukee digitaalista tutkijaa digitaalisen tutkinnan neljässä vaiheessa
- käyttäjäystävällinen graafinen käyttöliittymä
- käyttäjäystävälliset työvälineet
Suosittelemme lukemaan CAINE:n toimintatapoja käsittelevän sivun huolellisesti.
CAINE edustaa täysin avoimen lähdekoodin filosofian henkeä, koska projekti on täysin avoin, jokainen voi ottaa haltuunsa edellisen kehittäjän tai projektipäällikön perinnön. Distro on avointa lähdekoodia, Windows-puoli on freeware ja viimeisenä mutta ei vähäisimpänä, distro on asennettavissa, mikä antaa mahdollisuuden rakentaa se uudelleen uudeksi brändiversioksi, mikä antaa tälle projektille pitkän elämän ….
Nanni Bassetti
ERITYISET KIITOKSET: Raul Capriotti, Aniello Luongo, Lorenzo Faletra, Andrea Lazzarotto
CHANGELOG CAINE 11.0 ”Wormhole”
Kernel 5.0.0-32
Pohjautuu Ubuntu 18.04 64BIT:iin – UEFI Ready!
CAINE 11.0 voi käynnistyä Uefi/Uefi/Legacy Bios/Bios.
Jos secureboot epäonnistui, yritä poistaa se käytöstä UEFI:stä.
Jos haluat luoda hybridi-imagen, kokeile tätä:
isohybrid -u caine11.0.iso
Tärkeä uutinen on, että CAINE 11.0 blokkaa kaikki lohkolaitteet (esim. /dev/sda) Read-Only-tilassa. Voit käyttää työkalua, jonka graafinen käyttöliittymä on nimeltään Unblock, joka on läsnä CAINEn työpöydällä.
Tämä uusi kirjoituksen estomenetelmä varmistaa, että kaikki levyt todella säilyvät vahingossa tapahtuvilta kirjoitusoperaatioilta, koska ne on lukittu Read-Only-tilaan.
Jos haluat kirjoittaa levylle, voit avata lukituksen UnBlockilla tai käyttämällä ”Mounteria”, joka vaihtaa käytännesäännön kirjoitusvalmiustilaan. 
CAINE on aina nopeampi käynnistyksen aikana.
CAINE 11.0 voi käynnistyä RAM-muistiin (toram).
KAINEEN ASENNUS: UnBlock (blockdev) laita laite WRITABLE-tilaan -> käytä Ubiquityä -> Valitse Järjestelmän asennus -> Valitse käyttäjä: CAINE salasana: CAINE host: CAINE -> Go!
Ubiquity on asennusohjelma, vaikka vanhoissa BIOS-pohjaisissa tietokoneissa sinun täytyy ajaa BootRepair Ubiquityn päätyttyä!!!
Sitten ensimmäisen käynnistyksen jälkeen aja Grub Customizer ja laita käynnistysvalikkoon RW RO:n sijasta.
LISÄTTY/MUUTETTU:
TÄRKEIMMÄT MUUTOKSET:
Kaikkien laitteiden lukeminen lukemattomaan tilaan (Read-Only mode) on oletuksena lukemattomana.
Uudet työkalut, uusi OSINT, Autopsy 4.13 onboard, APFS valmis,BTRFS rikostekninen työkalu, NVME SSD-ajurit valmiina!
SSH-palvelin oletusarvoisesti poissa käytöstä (katso Manual-sivulta, miten se otetaan käyttöön).
SCRCPY – seulaa android-laitteesi
Autopsy 4.13 + lisäliitännäisiä McKinnonilta.
X11VNC-palvelin – CAINE:n etähallintaan.
hashcat
UUDET SKRIPIT (Rikostekniset työkalut – Analyysi-valikko)
AutoMacTc – rikostekninen työkalu Macille.
Bitlocker – volatiliteetti-liitännäinen
Autotimeliner – poimii automaattisesti rikosteknisen aikajanan haihtuvasta muistin dumppausjäljennöksestäkin.
Firmwalker – laiteohjelmistoanalysaattorin.
CDQR – Cold Disk Quick Response -työkalu
monen muu korjaus- ja ohjelmistopäivitystyökalu.
monen ja moni skripti ja ohjelma….
Windows-puoli:
CAINE:lla on Windows IR/Live forensics -työkalut.
Uusi julkaisu Arsenal Image Mounter by Arsenal Recon
Tarpeen vaatiessa voit käyttää haluamaasi IR/Live-rikosteknistä kehystä vaihtamalla työkalut pendriveen.
————————————————
UUSI RBFstab ja Mounter
1) ”rbfstab” on apuohjelma, joka aktivoituu käynnistyksen aikana tai kun laite kytketään. Se kirjoittaa vain lukuoikeudet sisältäviä merkintöjä /etc/fstab-tiedostoon, jotta laitteet voidaan asentaa turvallisesti rikosteknistä kuvantamista/tutkimusta varten. Se asennetaan itsestään komennolla ’rbfstab -i’ ja se voidaan poistaa käytöstä komennolla ’rbfstab -r’. Se sisältää monia parannuksia aiempiin rebuildfstab-versioihin verrattuna. Rebuildfstab on perinteinen keino vain lukemiseen perustuvaan kiinnittämiseen rikosteknisiin jakeluihin.
2) ”mounter” on GUI-käyttöliittymän kiinnitystyökalu, joka sijaitsee järjestelmän lokerossa. Järjestelmätarjottimen asemakuvakkeen napsauttaminen hiiren vasemmalla painikkeella aktivoi ikkunan, jossa käyttäjä voi valita kiinnitettävät tai poistettavat laitteet. Kun rbfstab on aktivoitu, kaikki laitteet, lukuun ottamatta niitä, joilla on volyymimerkintä ”RBFSTAB”, asennetaan vain lukuoikeuksin silmukkalaitteeseen. Lohkolaitteiden kiinnittäminen Cajassa (tiedostoselain) ei ole mahdollista tavalliselle käyttäjälle, kun rbfstab on aktivoitu, mikä tekee mountterista johdonmukaisen käyttöliittymän käyttäjille.
Mounter on levyn kiinnityssovellus, joka pyörii järjestelmän lokerossa. Yleisiä tietoja:
Vihreä levykuvake tarkoittaa, että järjestelmä on TURVALLINEN ja asentaa laitteet READ-ONLY silmukkalaitteeseen.
Punainen levykuvake tarkoittaa VAROITUS, asennetut laitteet ovat KIRJOITETTAVISSA.
Cainessa 8.0 mounter voi avata ja lukita lohkolaitteita Read-Only-tilassa.
Ohjeita:
Vasemmalla napsauttamalla levykuvaketta voit kiinnittää laitteen.
Oikealla napsauttamalla levykuvaketta voit muuttaa järjestelmän kiinnityskäytäntöä.
Keskellä napsauttamalla voit sulkea mounter-sovelluksen. Käynnistä uudelleen valikosta.
Varmistuskäytännön muutokset eivät vaikuta asennettuihin laitteisiin. Ainoastaan myöhemmät kiinnitystoiminnot vaikuttavat.
by John Lehr
Live Preview Caja Scripts
CAINE sisältää Caja-verkkoselaimessa aktivoitavia skriptejä, jotka on suunniteltu tekemään allokoitujen tiedostojen tutkimisesta helppoa. Tällä hetkellä skriptit pystyvät renderöimään monia tietokantoja, Internet-historiaa, Windowsin rekistereitä, poistettuja tiedostoja ja poimimaan EXIF-tiedot tekstitiedostoihin helppoa tarkastelua varten. Quick View -työkalu automatisoi tämän prosessin määrittämällä tiedostotyypin ja renderöimällä sen sopivalla työkalulla.
Live-esikatselun Caja-skriptit tarjoavat myös helpon pääsyn hallinnollisiin toimintoihin, kuten liitetyn laitteen tekeminen kirjoituskelpoiseksi, siirtyminen komentotulkkiin tai Caja-ikkunan avaaminen järjestelmänvalvojan oikeuksilla. ”Tallenna todisteeksi” -skripti kirjoittaa valitun tiedoston (valitut tiedostot) työpöydällä olevaan ”todisteet”-kansioon ja luo tiedostosta tekstiraportin, joka sisältää tiedoston metatiedot ja haluttaessa tutkijan kommentin.
Työkalupakettiin sisältyy ainutlaatuinen skripti ”Identify iPod Owner”. Tämä skripti havaitsee liitetyn ja asennetun iPod-laitteen ja näyttää laitteen metatiedot (nykyinen käyttäjänimi, laitteen sarjanumero jne.). Tutkijalla on mahdollisuus etsiä varatuista mediatiedostoista ja varaamattomasta tilasta iTunes-käyttäjätietoja, joita on Applen iTunes-kaupasta ostetuissa medioissa, esim. oikea nimi ja sähköpostiosoite.
Live-esikatseluskriptit ovat keskeneräisiä. Mahdollisia skriptejä on paljon enemmän, samoin kuin parannuksia olemassa oleviin skripteihin. CAINEn kehittäjät ottavat mielellään vastaan ominaisuuspyyntöjä, vikailmoituksia ja kritiikkiä.
Esikatseluskriptit syntyivät halusta tehdä todisteiden poimimisesta yksinkertaista kenelle tahansa tutkijalle, jolla on tietokoneen perustaidot. Niiden avulla tutkija voi hankkia perustodisteita tutkinnan tueksi tarvitsematta edistynyttä tietokonerikoskoulutusta tai tietokonerikosteknisen laboratorion odottelua. Tietokonerikostekniset laboratoriot voivat käyttää skriptejä laitteiden luokitteluun ja loput CAINE-työkalupaketista täydelliseen rikostekniseen tutkimukseen!
John Lehr
——————————————
Käynnistystiedostojärjestelmän huijaus PATCH
Parannus muuttaa tapaa, jolla Casper etsii käynnistysmediaa. Oletusarvoisesti Casper etsii kiintolevyasemia, CD/DVD-asemia ja joitakin muita laitteita järjestelmän käynnistyksen aikana (siinä vaiheessa, kun järjestelmä yrittää löytää käynnistysmedian, jossa on oikea juuritiedostojärjestelmän kuva – koska tavalliset käynnistyslatausohjelmat eivät välitä käyttöjärjestelmälle Live CD -kokoonpanoissa mitään tietoja käynnistykseen käytettävistä medioista). Korjauksemme on toteutettu CAINEn CD/DVD-versioita varten, ja se mahdollistaa vain CD/DVD-levyjä koskevat tarkistukset Casperissa. Tämä ratkaisee virheen, kun Casper valitsi ja käynnisti väärennettyjä juuritiedostojärjestelmäkuvia todisteellisilla välineillä (kiintolevyillä jne.). —
Suhanov Maxim
Windows-puoli
CAINElla on Windows IR/Live rikostekniset työkalut.
Jos tarvitset sitä, voit käyttää haluamaasi IR/Live rikosteknistä kehystä vaihtamalla työkalut pendrivessäsi.
Pendrivessäsi olevat työkalut.