ÚJ! Megjelent a CAINE 11.0 “Féreglyuk”!
Hivatalos CAINE GNU/Linux disztró legújabb kiadása.
ACAINE (Computer Aided INvestigative Environment) egy olasz GNU/Linux live disztribúció, amelyet digitális törvényszéki projektként hoztak létre
A projekt vezetője jelenleg Nanni Bassetti (Bari – Olaszország).
ACAINE egy komplett törvényszéki környezetet kínál, amely úgy van megszervezve, hogy a meglévő szoftvereszközöket szoftvermodulokként integrálja, és barátságos grafikus felületet biztosít.
A fő tervezési célok, amelyeket a CAINE biztosítani kíván, a következők:
- egy interoperábilis környezet, amely támogatja a digitális nyomozót a digitális nyomozás négy fázisában
- egy felhasználóbarát grafikus felület
- felhasználóbarát eszközök
Javasoljuk, hogy figyelmesen olvassa el a CAINE szabályzatáról szóló oldalt.
A CAINE teljes mértékben a nyílt forráskódú filozófia szellemiségét képviseli, mivel a projekt teljesen nyitott, mindenki átvehette az előző fejlesztő vagy projektvezető örökségét. A disztró nyílt forráskódú, a Windows oldala freeware, és nem utolsó sorban a disztró telepíthető, így lehetőséget ad arra, hogy egy új márkaváltozatban újraépítsék, így hosszú életet adva ennek a projektnek …. ….
Nanni Bassetti
KEDVES KÖSZÖNET: Raul Capriotti, Aniello Luongo, Lorenzo Faletra, Andrea Lazzarotto
CHANGELOG CAINE 11.0 “Wormhole”
Kernel 5.0.0-32
Based on Ubuntu 18.04 64BIT – UEFI Ready!
A CAINE 11.0 képes bootolni Uefi/Uefi/Legacy Bios/Bios-on.
Ha a secureboot nem sikerült, próbálja meg letiltani az UEFI-ből.
Ha hibrid image-t szeretne készíteni, próbálja meg ezt:
isohybrid -u caine11.0.iso
A fontos hír, hogy a CAINE 11.0 blokkolja az összes blokkos eszközt (pl. /dev/sda), Read-Only módban. A CAINE asztalon jelenlévő Unblock nevű GUI-val rendelkező eszközt használhatja.
Ez az új írásblokkolási módszer biztosítja, hogy minden lemez valóban megmaradjon a véletlen írási műveletektől, mert Read-Only módban vannak zárolva.
Ha írni kell egy lemezt, akkor az UnBlock segítségével vagy a “Mounter” segítségével feloldhatja a zárolást, megváltoztatva az írható módban lévő házirendet. 
A CAINE mindig gyorsabb a rendszerindítás során.
A CAINE 11.0 képes a RAM-ba (toram) bootolni.
A CAINE TELEPÍTÉSE: UnBlock (blockdev) az eszközt írható módba helyezi -> Ubiquity használata -> Válassza ki a rendszer telepítését -> Válassza ki a felhasználót: CAINE jelszó: CAINE host: CAINE -> Go!
Ubiquity a telepítő, még akkor is, ha régi BIOS alapú számítógépeknél az Ubiquity vége után a BootRepair-t kell futtatni!!!
Az első indítás után futtassuk a Grub Customizer-t és a boot menübe RO helyett RW-t tegyünk.
ADDED/CHANGED:
FONTOS VÁLTOZÁSOK:
Minden eszköz alapértelmezetten Read-Only módban van blokkolva.
Új eszközök, új OSINT, Autopsy 4.13 onboard, APFS kész,BTRFS törvényszéki eszköz, NVME SSD driverek kész!
SSH szerver alapértelmezés szerint letiltva (a bekapcsolásához lásd a Manual oldalt).
SCRCPY – screen your android device
Autopsy 4.13 + további pluginok a McKinnon-tól.
X11VNC Server – a CAINE távoli vezérléséhez.
hashcat
ÚJ SCRIPTS (Forensics Tools – Analysis menu)
AutoMacTc – egy törvényszéki eszköz Mac-re.
Bitlocker – volatility plugin
Autotimeliner – Automatikusan kivonja a törvényszéki idővonalat a volatile memory dumps-okból.
Firmwalker – firmware analyzer.
CDQR – Cold Disk Quick Response eszköz
sok egyéb javítás és szoftverfrissítés.
sok-sok szkript és program….
Windows oldal:
ACAINE rendelkezik Windows IR/Live törvényszéki eszközökkel.
Új kiadású Arsenal Image Mounter by Arsenal Recon
Ha szükséged van rá, használhatod az általad preferált IR/Live törvényszéki keretrendszert, megváltoztatva az eszközöket a pendrive-on.
————————————————
ÚJ RBFstab és Mounter
1) Az “rbfstab” egy segédprogram, amely a rendszerindításkor vagy egy eszköz csatlakoztatásakor aktiválódik. Csak olvasható bejegyzéseket ír az /etc/fstab állományba, hogy az eszközök biztonságosan fel legyenek csatolva a törvényszéki képalkotáshoz/vizsgálathoz. Önállóan telepíthető az ‘rbfstab -i’ paranccsal, és kikapcsolható az ‘rbfstab -r’ paranccsal. Számos fejlesztést tartalmaz a korábbi rebuildfstab inkarnációkhoz képest. A rebuildfstab egy hagyományos eszköz a csak olvasásra történő mountoláshoz a törvényszéki orientált disztribúciókban.
2) A “mounter” egy GUI mountoló eszköz, amely a rendszer tálcáján helyezkedik el. A rendszertálca meghajtó ikonjára bal egérgombbal kattintva aktiválódik egy ablak, ahol a felhasználó kiválaszthatja a mountolni vagy un-mountolni kívánt eszközöket. Az rbfstab aktiválásával az összes eszköz, kivéve az “RBFSTAB” kötetcímkével ellátottakat, csak olvashatóan van felcsatolva a hurok eszközre. A blokkeszközök Caja-ban (fájlböngésző) történő szerelése nem lehetséges egy normál felhasználó számára az rbfstab aktiválásával, így a mounter konzisztens felületet biztosít a felhasználók számára.
A Mounter egy lemezszerelő alkalmazás, amely a rendszertálcán fut. Általános információk:
A zöld lemez ikon azt jelenti, hogy a rendszer BIZTONSÁGOS, és az eszközöket READ-ONLY a hurok eszközre fogja mountolni.
A piros lemez ikon azt jelenti, hogy FIGYELEM, a mountolt eszközök WRITEABLE lesznek.
A CAINE 8.0-ban a mounter képes feloldani és lezárni a blokkeszközöket Read-Only módban.
Instrukciók:
Egy eszköz mountolásához kattintson balra a lemez ikonjára.
A rendszer mountolási házirendjének módosításához kattintson jobbra a lemez ikonjára.
A középső kattintás bezárja a mounter alkalmazást. Indítsa újra a menüből.
A csatlakoztatott eszközöket nem érinti a csatlakoztatási házirend módosítása. Csak a későbbi csatlakoztatási műveletek lesznek érintettek.
A John Lehr
Live Preview Caja Scripts
ACAINE a Caja webböngészőben aktivált szkripteket tartalmaz, amelyek célja a kiosztott fájlok egyszerű vizsgálata. Jelenleg a szkriptek számos adatbázist, internetes előzményeket, Windows-regisztereket, törölt fájlokat képesek megjeleníteni, és az EXIF-adatokat szöveges fájlokba kivonatolni az egyszerű vizsgálathoz. A Quick View eszköz automatizálja ezt a folyamatot a fájltípus meghatározásával és a megfelelő eszközzel történő renderelésével.
A Caja élő előnézeti szkriptek emellett egyszerű hozzáférést biztosítanak a rendszergazdai funkciókhoz, mint például egy csatlakoztatott eszköz írhatóvá tétele, a héjba való belépés, vagy egy Caja ablak megnyitása rendszergazdai jogosultságokkal. A “Bizonyítékként mentés” szkript a kiválasztott fájl(ok)at az asztalon lévő “Bizonyíték” mappába írja, és létrehoz egy szöveges jelentést a fájlról, amely tartalmazza a fájl metaadatait és kívánság szerint egy nyomozói megjegyzést.
Egy egyedi szkript, az “iPod-tulajdonos azonosítása” szerepel az eszközkészletben. Ez a szkript felismeri a csatlakoztatott és csatlakoztatott iPod eszközt, megjeleníti az eszközre vonatkozó metaadatokat (aktuális felhasználónév, eszköz sorozatszáma stb.). A nyomozónak lehetősége van arra, hogy a kiosztott médiafájlokat és a ki nem osztott helyet átkutassa az Apple iTunes áruházban vásárolt médián szereplő iTunes felhasználói információk, azaz a valós név és az e-mail cím után.
Az élő előnézeti szkriptek még fejlesztés alatt állnak. Sok további szkript lehetséges, ahogyan a meglévő szkriptek továbbfejlesztése is. A CAINE fejlesztői szívesen fogadják a funkciókra vonatkozó kéréseket, hibajelentéseket és kritikákat.
Az előnézeti szkriptek abból a vágyból születtek, hogy a bizonyítékok kinyerését egyszerűvé tegyék bármely, alapvető számítógépes ismeretekkel rendelkező nyomozó számára. Lehetővé teszik a nyomozó számára, hogy alapvető bizonyítékokat szerezzen a nyomozás alátámasztására anélkül, hogy fejlett számítógépes törvényszéki képzésre vagy számítógépes törvényszéki laboratóriumra várna. A számítógépes törvényszéki laboratóriumok használhatják a szkripteket az eszközök vizsgálatához, a CAINE eszköztár többi részét pedig a teljes törvényszéki vizsgálathoz!
John Lehr
——————————————
Root fájlrendszer meghamisítása PATCH
A javítás megváltoztatja azt a módot, ahogyan a Casper a boot médiát keresi. Alapértelmezés szerint a Casper a rendszer indításakor (abban a fázisban, amikor a rendszer megpróbálja megtalálni a megfelelő gyökérfájlrendszer-képet tartalmazó indítómédiát – mivel az általános bootloaderek Live CD-konfigurációkban nem adnak át semmilyen adatot a rendszerindításhoz használt médiáról az operációs rendszernek) a merevlemez-meghajtókat, CD/DVD-meghajtókat és néhány más eszközt keres. A mi javításunk a CAINE CD/DVD verziókhoz van implementálva, és lehetővé teszi a Casperben a csak CD/DVD ellenőrzéseket. Ez megoldja azt a hibát, amikor a Casper hamis gyökérfájlrendszer-képeket választ ki és indít el a bizonyítóeszközökön (merevlemez-meghajtók stb.). —
Suhanov Maxim
Windows Side
A CAINE kapott egy Windows IR/Live törvényszéki eszközöket.
Ha szükséged van rá, használhatod az általad preferált IR/Live törvényszéki keretrendszert, megváltoztatva az eszközöket a pendrive-odon.
Megváltoztatva az eszközöket.