NOVO! CAINE 11.0 “Wormhole” está fora!
Official CAINE GNU/Linux distro última versão.
CAINE (Computer Aided INvestigative Environment) é uma distribuição GNU/Linux italiana ao vivo criada como um projeto Forense Digital
Currentemente o gerente do projeto é Nanni Bassetti (Bari – Itália).
CAINE oferece um ambiente forense completo que é organizado para integrar ferramentas de software existentes como módulos de software e para fornecer uma interface gráfica amigável.
Os principais objetivos do projeto que CAINE pretende garantir são os seguintes:
- um ambiente interoperável que suporta o investigador digital durante as quatro fases da investigação digital
- uma interface gráfica amigável
- ferramentas amigáveis
Recomendamos que você leia cuidadosamente a página sobre as políticas da CAINE.
CAINE representa plenamente o espírito da filosofia Open Source, pois o projeto é completamente aberto, todos poderiam assumir o legado do desenvolvedor ou gerente de projeto anterior. A distro é open source, o lado Windows é freeware e, o último mas não menos importante, a distro é instalável, dando assim a oportunidade de reconstruí-la em uma nova versão da marca, dando assim uma longa vida a este projeto ….
Nanni Bassetti
OBRIGADO ESPECIAL: Raul Capriotti, Aniello Luongo, Lorenzo Faletra, Andrea Lazzarotto
CHANGELOG CAINE 11.0 “Wormhole”
Kernel 5.0.0-32
Baseado no Ubuntu 18.04 64BIT – UEFI Ready!
CAINE 11.0 pode iniciar no Uefi/Uefi/Legacy Bios/Bios.
Se o secureboot falhar, tente desativá-lo do UEFI.
Se você quiser criar uma imagem híbrida, tente isto:
isohybrid -u caine11.0.iso
A notícia importante é CAINE 11.0 bloqueia todos os dispositivos de bloco (ex. /dev/sda), no modo Read-Only. Você pode usar uma ferramenta com uma GUI chamada Unblock presente no CAINE’s Desktop.
Este novo método de bloqueio de escrita assegura que todos os discos sejam realmente preservados de operações de escrita acidental, porque eles estão bloqueados no modo Read-Only.
Se você precisar escrever um disco, você pode desbloqueá-lo com UnBlock ou usando “Mounter” mudando a política no modo gravável. 
CAINE é sempre mais rápido durante o arranque.
CAINE 11.0 pode iniciar na RAM (toram).
INSTALAR CAINE: Desbloquear (blockdev) colocar o dispositivo em modo WRITABLE -> usar Ubiquity -> Escolher Instalação do Sistema -> Escolher utilizador: Senha CAINE: CAINE host: CAINE -> Go!
Ubiquity é o instalador, mesmo que para computadores antigos baseados em BIOS, você precisa executar o BootRepair após o final do Ubiquity!.
Então após o primeiro boot, execute o Grub Customizer e coloque RW ao invés de RO no menu boot.
ADDED/CHANGED:
IMPORTANT CHANGES:
Todos os dispositivos são bloqueados no modo Read-Only, por padrão.
Novas ferramentas, novo OSINT, Autopsy 4.13 onboard, APFS ready,BTRFS forensic tool, NVME SSD drivers ready!
SSH server disabled by default (see Manual page for enabling it).
SCRCPY – screen your android device
Autopsy 4.13 + plugins adicionais por McKinnon.
X11VNC Server – para controlar CAINE remotamente.
hashcat
NEW SCRIPTS (Forensics Tools – Analysis menu)
AutoMacTc – uma ferramenta forense para Mac.
Bitlocker – plugin de volatilidade
Autotimeliner – extrai automaticamente a linha de tempo forense dos despejos de memória volátil.
Firmwalker – analisador de firmware.
CDQR – Ferramenta de resposta rápida do disco frio
Muitas outras correções e atualizações de software.
Muitos scripts e programas….
Windows Side:
CAINE tem uma ferramenta forense do Windows IR/Live.
Novo lançamento do Arsenal Image Mounter pelo Arsenal Recon
Se você precisar dele você pode usar o framework forense IR/Live que preferir, mudando as ferramentas em seu pendrive.
————————————————
NEW RBFstab e Mounter
1) “rbfstab” é um utilitário que é ativado durante o boot ou quando um dispositivo é plugado. Ele escreve entradas somente leitura no /etc/fstab para que os dispositivos sejam montados de forma segura para a imagem/exame forense. Ele é auto-instalado com ‘rbfstab -i’ e pode ser desabilitado com ‘rbfstab -r’. Ele contém muitas melhorias em relação a encarnações anteriores da rebuildfstab. Rebuildfstab é um meio tradicional para montagem somente leitura em distribuições forense-orient.
2) “mounter” é uma ferramenta de montagem GUI que fica na bandeja do sistema. Clicando com o botão esquerdo do mouse no ícone da unidade da bandeja do sistema, ativa uma janela onde o usuário pode selecionar dispositivos para montar ou desmontar. Com rbfstab ativado, todos os dispositivos, exceto aqueles com a etiqueta de volume “RBFSTAB”, são montados somente para leitura no dispositivo de loop. Montar dispositivos de bloco em Caja (navegador de arquivos) não é possível para um usuário normal com o rbfstab ativado tornando o montador uma interface consistente para usuários.
Mounter é uma aplicação de montagem em disco que roda na bandeja do sistema. Informações Gerais:
Um ícone de disco verde significa que o sistema é SEGURO e irá montar dispositivos LIDO-ONLY no dispositivo de loop.
Um ícone de disco vermelho significa AVISO, os dispositivos montados serão ERITÁVEIS.
No CAINE 8.0 o montador pode desbloquear e travar dispositivos de bloco no modo de leitura.
Instruções:
Clique no ícone de disco para montar um dispositivo.
Clique com o botão direito do rato no ícone de disco para alterar a política de montagem do sistema.
Clique com o botão médio do rato para fechar a aplicação de montagem. Relançamento do menu.
Os dispositivos montados não serão afetados pelas alterações da política de montagem. Apenas operações de montagem subsequentes serão afetadas.
Por John Lehr
Visualização prévia do Live Caja Scripts
CAINE inclui scripts ativados dentro do navegador web Caja projetado para tornar simples o exame dos arquivos alocados. Atualmente, os scripts podem renderizar muitas bases de dados, históricos da Internet, registros do Windows, arquivos excluídos e extrair dados EXIF para arquivos de texto para um exame fácil. A ferramenta Quick View automatiza este processo, determinando o tipo de arquivo e renderizando-o com a ferramenta apropriada.
Os scripts Caja de visualização ao vivo também fornecem acesso fácil a funções administrativas, tais como tornar um dispositivo anexado gravável, descer para a shell, ou abrir uma janela Caja com privilégios de administrador. O script “Save as Evidence” irá escrever o(s) arquivo(s) selecionado(s) em uma pasta “Evidence” na área de trabalho e criar um relatório de texto sobre o arquivo contendo os metadados do arquivo e um comentário do investigador, se desejado.
Um script único, “Identify iPod Owner”, está incluído no conjunto de ferramentas. Este script irá detectar um dispositivo iPod anexado e montado, exibir metadados sobre o dispositivo (nome de usuário atual, número de série do dispositivo, etc.). O investigador tem a opção de procurar arquivos de mídia alocados e espaço não alocado para informações de usuário do iTunes presentes em mídia adquirida através da loja iTunes da Apple, ou seja, Nome Real e endereço de e-mail.
Os scripts de pré-visualização ao vivo são um trabalho em andamento. Muitos mais scripts são possíveis, assim como melhorias nos scripts existentes. Os programadores CAINE acolhem pedidos de funcionalidades, relatórios de bugs e críticas.
Os scripts de pré-visualização nasceram do desejo de tornar a extracção de provas simples para qualquer investigador com conhecimentos básicos de informática. Eles permitem que o investigador obtenha evidências básicas para apoiar a investigação sem a necessidade de treinamento forense avançado em informática ou esperar por um laboratório forense em informática. Os laboratórios de informática forense podem usar os scripts para a triagem do dispositivo e o restante do conjunto de ferramentas CAINE para um exame forense completo!
John Lehr
——————————————
Root file system spoofing PATCH
O patch muda a forma como o Casper procura a mídia de boot. Por padrão, a Casper irá procurar discos rígidos, drives de CD/DVD e alguns outros dispositivos enquanto inicializa o sistema (durante o estágio em que o sistema tenta encontrar a mídia de boot com a imagem correta do sistema de arquivos raiz – porque os carregadores de boot comuns não passam quaisquer dados sobre a mídia usada para inicializar para um sistema operacional em configurações de Live CD). Nosso patch é implementado para versões de CD/DVD do CAINE e permite verificações somente em CD/DVD no Casper. Isto resolve o bug quando o Casper seleciona e inicializa imagens falsas do sistema de arquivos raiz em mídia probatória (discos rígidos, etc). —
Suhanov Maxim
Windows Side
CAINE tem uma ferramenta forense IR/Live do Windows.
Se precisar pode usar a estrutura forense IR/Live que preferir, alterando as ferramentas na sua pendrive.