NIEUW! CAINE 11.0 “Wormhole” is uit!
Officiële CAINE GNU/Linux distro nieuwste uitgave.
CAINE (Computer Aided INvestigative Environment) is een Italiaanse GNU/Linux live distributie gemaakt als een Digitaal Forensisch project
De huidige project manager is Nanni Bassetti (Bari – Italië).
CAINE biedt een complete forensische omgeving die is georganiseerd om bestaande software tools als software modules te integreren en een vriendelijke grafische interface te bieden.
De belangrijkste ontwerpdoelstellingen die CAINE wil garanderen zijn de volgende:
- een interoperabele omgeving die de digitale onderzoeker ondersteunt tijdens de vier fasen van het digitale onderzoek
- een gebruikersvriendelijke grafische interface
- gebruiksvriendelijke tools
Wij raden u aan de pagina over het CAINE-beleid aandachtig te lezen.
CAINE vertegenwoordigt volledig de geest van de Open Source filosofie, omdat het project volledig open is, kon iedereen de erfenis van de vorige ontwikkelaar of project manager overnemen. De distro is open source, de Windows-kant is freeware en, last but not least, de distro is installeerbaar, waardoor het mogelijk is om het opnieuw op te bouwen in een nieuwe merkversie, waardoor dit project een lang leven beschoren is ….
Nanni Bassetti
SPECIAL THANKS TO: Raul Capriotti, Aniello Luongo, Lorenzo Faletra, Andrea Lazzarotto
CHANGELOG CAINE 11.0 “Wormhole”
Kernel 5.0.0-32
Gebaseerd op Ubuntu 18.04 64BIT – UEFI Ready!
Caine 11.0 kan opstarten op Uefi/Uefi/Legacy Bios/Bios.
Als secureboot mislukt, probeer het dan uit te schakelen vanuit UEFI.
Als u een hybride image wilt maken, probeer dan dit:
isohybrid -u caine11.0.iso
Het belangrijke nieuws is dat CAINE 11.0 alle block devices (bijv. /dev/sda) blokkeert, in alleen-lezen modus. U kunt een tool gebruiken met een GUI genaamd Unblock, aanwezig op CAINE’s Bureaublad.
Deze nieuwe schrijf-blokkeer methode verzekert u ervan dat alle schijven echt gevrijwaard blijven van onbedoelde schrijf operaties, omdat ze geblokkeerd zijn in Alleen-lezen modus.
Als u een schijf moet schrijven, kunt u deze deblokkeren met UnBlock of met “Mounter” de policy veranderen in schrijfbare modus. 
CAINE is altijd sneller tijdens het opstarten.
CAINE 11.0 kan booten naar RAM (toram).
INSTALLEREN VAN CAINE: UnBlock (blockdev) zet het apparaat in WRITABLE mode -> gebruik Ubiquity -> kies System Install -> kies user: CAINE wachtwoord: CAINE host: CAINE -> Go!
Ubiquity is het installatieprogramma, ook al moet u voor oude BIOS-gebaseerde computers BootRepair uitvoeren na afloop van Ubiquity!.
Dan na de eerste keer opstarten Grub Customizer uitvoeren en RW in plaats van RO in het opstartmenu zetten.
GEDAAN/GEWIJZIGD:
BELANGRIJKE WIJZIGINGEN:
Alle apparaten zijn standaard geblokkeerd in de alleen-lezen modus.
Nieuwe tools, nieuwe OSINT, Autopsy 4.13 aan boord, APFS klaar, BTRFS forensisch tool, NVME SSD drivers klaar!
SSH server standaard uitgeschakeld (zie handleiding pagina om het in te schakelen).
SCRCPY – screen je android apparaat
Autopsy 4.13 + extra plugins door McKinnon.
X11VNC Server – om CAINE op afstand te besturen.
hashcat
NIEUWE SCRIPTS (Forensics Tools – Analysis menu)
AutoMacTc – een forensisch tool voor Mac.
Bitlocker – volatility plugin
Autotimeliner – haalt automatisch forensische tijdlijn uit vluchtige geheugendumps.
Firmwalker – firmware analyzer.
CDQR – Cold Disk Quick Response tool
vele andere reparatie en software updating.
vele en vele scripts en programma’s….
Windows kant:
CAINE heeft een Windows IR/Live forensisch hulpprogramma.
Nieuwe uitgave van Arsenal Image Mounter door Arsenal Recon
Als je het nodig hebt, kun je het IR/Live forensisch framework gebruiken dat je verkiest, door de tools in je pendrive te veranderen.
————————————————
NEW RBFstab en Mounter
1) “rbfstab” is een hulpprogramma dat wordt geactiveerd tijdens het opstarten of wanneer een apparaat wordt aangesloten. Het schrijft alleen-lezen regels naar /etc/fstab zodat apparaten veilig kunnen worden gemount voor forensische beeldvorming/onderzoek. Het installeert zichzelf met ‘rbfstab -i’ en kan uitgeschakeld worden met ‘rbfstab -r’. Het bevat vele verbeteringen ten opzichte van vorige rebuildfstab incarnaties. Rebuildfstab is een traditioneel middel voor alleen-lezen mounten in forensisch georiënteerde distributies.
2) “mounter” is een GUI mounthulpmiddel dat in het systeemvak zit. Door met de linker muisknop te klikken op het schijf-icoon in het systeemvak wordt een venster geactiveerd waarin de gebruiker apparaten kan selecteren om te mounten of te unmounten. Met rbfstab geactiveerd, worden alle apparaten, behalve die met volumenaam “RBFSTAB”, alleen-lezen aangekoppeld op loop device. Het mounten van block devices in Caja (file browser) is niet mogelijk voor een normale gebruiker met rbfstab geactiveerd waardoor mounter een consistente interface is voor gebruikers.
Mounter is een disk mounten applicatie die draait in de system tray. Algemene informatie:
Een groen schijficoon betekent dat het systeem VEILIG is en apparaten LEES-LOOS zal mounten op loop device.
Een rood schijficoon betekent WAARSCHUWING, gemounte apparaten zullen WRITEABLE zijn.
In CAINE 8.0 kan mounter blokapparaten ontgrendelen en vergrendelen in alleen-lezen modus.
Instructies:
Linksklik op het schijfpictogram om een apparaat te mounten.
Rechtsklik op het schijfpictogram om het mounteerbeleid van het systeem te wijzigen.
Middenklik zal de mounter-toepassing sluiten. Herstart vanuit het menu.
De aangekoppelde apparaten worden niet beïnvloed door wijzigingen in het koppelbeleid. Alleen latere mountactiviteiten worden beïnvloed.
door John Lehr
Live Preview Caja Scripts
CAINE bevat scripts die binnen de Caja webbrowser worden geactiveerd en die zijn ontworpen om het onderzoeken van toegewezen bestanden eenvoudig te maken. Momenteel kunnen de scripts vele databases, internetgeschiedenissen, Windows-registers en verwijderde bestanden weergeven, en EXIF-gegevens naar tekstbestanden extraheren voor eenvoudig onderzoek. Het Quick View gereedschap automatiseert dit proces door het bestandstype te bepalen en het met het juiste gereedschap te renderen.
De Caja-scripts voor live-preview bieden ook gemakkelijk toegang tot administratieve functies, zoals het schrijfbaar maken van een aangesloten apparaat, het terugzetten naar de commandoregel, of het openen van een Caja-venster met beheerdersrechten. Het “Opslaan als bewijsmateriaal”-script schrijft de geselecteerde bestanden naar een “Bewijsmateriaal”-map op het bureaublad en maakt een tekstrapport over het bestand met bestandsmetadata en desgewenst een commentaar van de onderzoeker.
Een uniek script, “Identify iPod Owner”, is opgenomen in de toolset. Dit script zal een aangesloten en aangekoppeld iPod apparaat detecteren, metadata over het apparaat weergeven (huidige gebruikersnaam, serienummer van het apparaat, etc.). De onderzoeker heeft de mogelijkheid om toegewezen mediabestanden en niet-toegewezen ruimte te doorzoeken op iTunes-gebruikersinformatie die aanwezig is in media gekocht via de Apple iTunes store, d.w.z. echte naam en emailadres.
De live preview scripts zijn een werk in uitvoering. Veel meer scripts zijn mogelijk, evenals verbeteringen aan de bestaande scripts. De CAINE ontwikkelaars verwelkomen feature requests, bug reports, en kritiek.
De preview scripts zijn geboren uit de wens om bewijs extractie eenvoudig te maken voor iedere onderzoeker met basis computer vaardigheden. Ze stellen de onderzoeker in staat om basis bewijsmateriaal te verkrijgen om het onderzoek te ondersteunen zonder de noodzaak van geavanceerde computer forensische training of het wachten op een computer forensisch lab. Computer forensisch labs kunnen de scripts gebruiken voor apparaat triage en de rest van de CAINE toolset voor een volledig forensisch onderzoek!
John Lehr
——————————————
Root file system spoofing PATCH
De patch verandert de manier waarop Casper zoekt naar de boot media. Standaard zal Casper kijken naar harde schijven, CD/DVD-stations en enkele andere apparaten tijdens het booten van het systeem (tijdens de fase waarin het systeem probeert het boot medium te vinden met het correcte root bestandssysteem image erop – omdat gewone bootloaders geen data over het medium dat gebruikt wordt voor het booten doorgeven aan een besturingssysteem in Live CD configuraties). Onze patch is geïmplementeerd voor CD/DVD versies van CAINE en maakt CD/DVD-only checks mogelijk in Casper. Dit lost de bug op wanneer Casper nep root bestandssysteem images zou selecteren en booten op bewijskrachtige media (harde schijven, etc). —
Suhanov Maxim
Windows kant
CAINE heeft een Windows IR/Live forensisch gereedschap.
Als je het nodig hebt kun je het IR/Live forensisch raamwerk gebruiken dat je voorkeur heeft, door de gereedschappen op je pendrive te veranderen.