NEW! CAINE 11.0 “Wormhole “がリリースされました!
公式 CAINE GNU/Linux ディストロ最新リリース。
CAINE (Computer Aided Investigative Environment) はイタリアの GNU/Linux ライブディストリビューションで、デジタルフォレンジックスプロジェクト
現在プロジェクトマネージャーは Nanni Bassetti(バーリ – イタリア)です。
CAINEは、既存のソフトウェアツールをソフトウェアモジュールとして統合し、親しみやすいグラフィカルインターフェースで構成された完全なフォレンジック環境を提供します。
- デジタル調査の4つのフェーズにおいてデジタル調査者をサポートする相互運用可能な環境
- ユーザーフレンドリーなグラフィカルインターフェース
- ユーザーフレンドリーなツール
CAINのポリシーに関するページを熟読することを推奨します。
CAINE はオープンソースの精神を完全に表しています。プロジェクトが完全にオープンであるため、誰もが以前の開発者やプロジェクトマネージャーの遺産を引き継ぐことができます。 ディストロはオープンソースであり、Windows側はフリーウェアです。そして最後になりましたが、ディストロはインストール可能で、新しいブランドのバージョンで再構築する機会を与え、このプロジェクトに長寿を与えています。
Nanni Bassetti
SPECIAL THANKS TO: Raul Capriotti、Aniello Luongo、Lorenzo Faletra、Andrea Lazzarotto
CHANGELOG CAINE 11.0 “Wormhole”
Kernel 5.0.0-32
Ubuntu 18.04 64BIT ベース – UEFI Ready!
CAINE 11.0 は Uefi/Uefi/Legacy Bios/Bios で起動できます。
もし secureboot が失敗したら、UEFI からそれを無効にしてみてください。
もしハイブリッドイメージを作成したい場合は以下を試してください:
isohybrid -u caine11.0-32Legacy Bios/UEFi/UEFI>CAINE 11.0 は、UEFI で起動できます。0.iso
重要なニュースは CAINE 11.0 はすべてのブロックデバイス (例 /dev/sda) をリードオンリーモードでブロックします。 CAINE のデスクトップにある Unblock という GUI を持つツールを使用できます。
この新しい書き込みブロック方法は、読み取り専用モードでロックされているため、すべてのディスクが誤って書き込み操作から本当に保護されていることを保証します。
CAINE はブート時に常に高速に動作するようになりました。
CAINE 11.0 は RAM (toram) で起動できます。
INSTALLING CAINE: UnBlock (blockdev) デバイスを WRITABLE モードに -> use Ubiquity -> Choose System Install -> Choose user.UnBlock (blockdev) デバイスを WRITABLE モードに -> use Ubiquity -> Select user: CAINE password: CAINE host: CAINE -> Go!
Ubiquity は、古い BIOS ベースのコンピュータの場合でも、Ubiquity 終了後に BootRepair を実行する必要があります!
それから、最初の起動後に、Grub Customizer を実行し、起動メニューに RO の代わりに RW を置きます。
追加/変更:
重要な変更:
すべてのデバイスが、デフォルトでは Read-Only モードにブロックされます。
新しいツール、新しい OSINT、Autopsy 4.13 オンボード、APFS 準備、BTRFS フォレンジックツール、NVME SSD ドライバーの準備完了!
SSH サーバーはデフォルトで無効です(有効にするにはマニュアルページを参照)
SCRCPY – あなたの Android デバイスをスクリーニング
Autopsy 4.13 + McKinnon による追加のプラグイン。
X11VNC Server – CAINEをリモートでコントロール
hashcat
NEW SCRIPTS (Forensics Tools – Analysis menu)
AutoMacTc – Mac用フォレンジックツール
Bitlocker – volatility plugin
Autotimeliner – volatile memory dumpsから自動的にフォレンジックのタイムラインを抽出
Firmwalker – firmware analyzer.NET.COM
Firmware.NET.COM
Firmware.NET – Mac用フォレンジックツール。
CDQR – Cold Disk Quick Response tool
many others fixing and software updating.
many and many scripts and programs….
Windows側:
CAINEにWindows IR/ライブフォレンジックツールが追加されました。
NEW Arsenal Image Mounter by Arsenal Recon
If you need it you can use the IR/Live forensics framework you prefer, changing the tools in your pendrive.
————————————–
NEW RBFstab and Mounter
1) “rbfstab” is a utility that activated during boot or when a device is plugged in…「RBFstabは起動時やデバイスの接続時に起動させるためのユーティリティで、その名の通り、RBFで使用するためのものです。 このユーティリティは、/etc/fstab に読み取り専用のエントリを書き込むため、フォレンジック・イメージング/検査用にデバイスを安全にマウントすることができます。 rbfstab -i’ でセルフインストールでき、’rbfstab -r’ で無効化できます。 過去の rebuildfstab に比べて多くの改良が加えられています。 Rebuildfstab は、forensics-orient のディストリビューションにおける、読み取り専用マウントの伝統的な手段です。
2) “mounter” は、システムトレイに置かれる GUI マウントツールです。 システムトレイのドライブアイコンを左クリックするとウィンドウが起動し、ユーザーはマウントまたはアンマウントするデバイスを選択できます。 rbfstabを有効にすると、ボリュームラベルが「RBFSTAB」のデバイスを除くすべてのデバイスがループデバイスで読み取り専用にマウントされます。 Caja (ファイルブラウザ) でのブロックデバイスのマウントは、rbfstab が有効な状態では一般ユーザーには不可能であり、マウンターをユーザーにとって一貫したインターフェイスにします。 一般情報:
緑のディスクアイコンはシステムが安全であることを意味し、ループデバイスにREAD-ONLYでデバイスをマウントします。
赤いディスクアイコンは警告を意味し、マウントされたデバイスはWRITEABLEになります。
CAINE 8.0 mounterではリードオンリーモードでブロックデバイスのロックとアンロックが可能です。
操作方法:
ディスクアイコンを左クリックしてデバイスをマウントします。
ディスクアイコンを右クリックしてシステムマウントポリシーを変更します。
マウントされたデバイスは、マウントポリシーの変更によって影響を受けません。
by John Lehr
Live Preview Caja Scripts
CAINE には Caja Web ブラウザ内で起動するスクリプトがあり、割り当てられたファイルを簡単に検査できるように設計されています。 現在、このスクリプトは、多くのデータベース、インターネット履歴、Windowsレジストリ、削除されたファイルをレンダリングし、EXIFデータをテキストファイルに抽出し、簡単に検査することができます。 クイックビューツールは、ファイルの種類を判断し、適切なツールでレンダリングすることで、このプロセスを自動化します。
ライブ プレビュー Caja スクリプトは、接続されたデバイスを書き込み可能にする、シェルにドロップする、管理者権限で Caja ウィンドウを開くなどの管理機能への簡単なアクセスも提供します。 Evidenceとして保存」スクリプトは、選択したファイルをデスクトップ上の「Evidence」フォルダに書き込み、ファイルのメタデータと調査官のコメントを含むファイルに関するテキストレポートを作成します(必要な場合)。
ユニークなスクリプトである “Identify iPod Owner” がツールセットに含まれています。 このスクリプトは、接続およびマウントされた iPod デバイスを検出し、デバイスに関するメタデータ (現在のユーザー名、デバイスのシリアル番号など) を表示します。 また、Apple iTunes Storeで購入したメディアに含まれるiTunesユーザー情報(リアルネームや電子メールアドレスなど)を、割り当てられたメディアファイルや未割り当ての領域から検索するオプションも用意されています。
ライブプレビュースクリプトは、現在開発中のものです。 既存のスクリプトの改善と同様に、より多くのスクリプトが可能です。 CAINEの開発者は機能のリクエスト、バグレポート、および批判を歓迎します。
プレビュースクリプトは、基本的なコンピュータスキルを持つ捜査官であれば誰でも簡単に証拠抽出ができるようにしたいという思いから生まれました。 このスクリプトにより、捜査官は高度なコンピュータ・フォレンジック・トレーニングやコンピュータ・フォレンジック・ラボを待つことなく、捜査をサポートするための基本的な証拠を得ることができるようになります。 コンピュータフォレンジックラボはデバイスのトリアージにスクリプトを使用し、CAINEツールセットの残りの部分を完全なフォレンジック検査に使用することができます!
John Lehr
————————–
Root file system spoofing PATCH
このパッチは、Casperが起動メディアを検索する方法を変更します。 デフォルトでは、Casperはシステムを起動する際に、ハードディスクドライブ、CD/DVDドライブ、およびその他のデバイスを検索します(システムが正しいルートファイルシステムイメージのある起動メディアを探そうとする段階 – 一般的なブートローダは、ライブCD構成ではOSに起動に使用するメディアについてのデータを渡さないため)。 このパッチはCAINEのCD/DVDバージョン用に実装されており、CasperでのCD/DVDのみのチェックを可能にします。 これにより、Casperが証拠となるメディア(ハードディスクドライブなど)上の偽のルートファイルシステムイメージを選択し、起動するバグが解決されます。 —
Suhanov Maxim
Windows Side
CAINE は Windows IR/Live フォレンジックツールを備えています。
必要ならば、pendrive にあるツールを変更し、お好みの IR/Live フォレンジックのフレームワークを使用することが可能です。