NEW! A apărut CAINE 11.0 „Wormhole”!
Ultima versiune oficială a distribuției CAINE GNU/Linux.
CAINE (Computer Aided INvestigative Environment) este o distribuție italiană GNU/Linux live creată ca un proiect de Digital Forensics
În prezent managerul proiectului este Nanni Bassetti (Bari – Italia).
CAINE oferă un mediu forensic complet care este organizat pentru a integra instrumentele software existente ca module software și pentru a oferi o interfață grafică prietenoasă.
Principalele obiective de proiectare pe care CAINE urmărește să le garanteze sunt următoarele:
- un mediu interoperabil care sprijină investigatorul digital în timpul celor patru faze ale investigației digitale
- o interfață grafică prietenoasă
- instrumente prietenoase cu utilizatorul
Vă recomandăm să citiți cu atenție pagina privind politicile CAINE.
CAINE reprezintă pe deplin spiritul filozofiei Open Source, deoarece proiectul este complet deschis, oricine ar putea prelua moștenirea dezvoltatorului sau managerului de proiect anterior. Distro-ul este open source, partea de Windows este freeware și, nu în ultimul rând, distro-ul este instalabil, dând astfel posibilitatea de a-l reconstrui într-o nouă versiune de marcă, oferind astfel o viață lungă acestui proiect …..
Nanni Bassetti
REMULTUMIRI SPECIALE PENTRU: Raul Capriotti, Aniello Luongo, Lorenzo Faletra, Andrea Lazzarotto
CHANGELOG CAINE 11.0 „Wormhole”
Kernel 5.0.0-32
Bazat pe Ubuntu 18.04 64BIT – UEFI Ready!
CAINE 11.0 poate porni pe Uefi/Uefi/Legacy Bios/Bios.
Dacă secureboot a eșuat, încercați să îl dezactivați din UEFI.
Dacă doriți să creați o imagine hibridă, încercați acest lucru:
isohybrid -u caine11.0.iso
Veștile importante sunt că CAINE 11.0 blochează toate dispozitivele de bloc (de ex. /dev/sda), în modul Read-Only. Puteți folosi o unealtă cu o interfață grafică numită Unblock prezentă pe desktop-ul CAINE.
Această nouă metodă de blocare a scrierii asigură că toate discurile sunt cu adevărat prezervate de operațiile de scriere accidentală, deoarece sunt blocate în modul Read-Only.
Dacă aveți nevoie să scrieți un disc, îl puteți debloca cu UnBlock sau folosind „Mounter” schimbând politica în modul scriere. 
CAINE este întotdeauna mai rapid în timpul pornirii.
CAINE 11.0 poate porni în RAM (toram).
INSTALAREA CAINE: UnBlock (blockdev) pune dispozitivul în modul WRITABLE -> folosește Ubiquity -> Alege System Install -> Alege user: CAINE password: CAINE host: CAINE -> Go!
Ubiquity este programul de instalare, chiar dacă în cazul calculatoarelor vechi bazate pe BIOS, trebuie să rulați BootRepair după terminarea lui Ubiquity!.
Apoi, după prima pornire, rulați Grub Customizer și puneți RW în loc de RO în meniul de pornire.
AMINTIRI/ MODIFICĂRI:
MODIFICĂRI IMPORTANTE:
Toate dispozitivele sunt blocate în modul Read-Only, în mod implicit.
Instrumente noi, OSINT nou, Autopsy 4.13 onboard, APFS ready,BTRFS forensic tool, NVME SSD drivers ready!
Server SSH dezactivat în mod implicit (vezi pagina Manual pentru activarea acestuia).
SCRCPY – screen your android device
Autopsy 4.13 + plugin-uri suplimentare de McKinnon.
X11VNC Server – pentru a controla CAINE de la distanță.
hashcat
SCRIPTURI NOI (Instrumente criminalistice – meniul Analiză)
AutoMacTc – un instrument criminalistic pentru Mac.
Bitlocker – plugin de volatilitate
Autotimeliner – extrage automat cronologia criminalistică din descărcările de memorie volatilă.
Firmwalker – analizator de firmware.
CDQR – Cold Disk Quick Response tool
multe alte instrumente de reparare și actualizare software.
multe și multe scripturi și programe….
Lateral Windows:
CAINE are un Windows IR/Live forensics tools.
O nouă versiune a Arsenal Image Mounter de Arsenal Recon
Dacă aveți nevoie puteți folosi cadrul de criminalistică IR/Live pe care îl preferați, schimbând uneltele din pendrive.
————————————————
NEW RBFstab and Mounter
1) „rbfstab” este un utilitar care este activat în timpul boot-ului sau când un dispozitiv este conectat. Acesta scrie intrări numai pentru citire în /etc/fstab, astfel încât dispozitivele să fie montate în siguranță pentru imagistica/examinarea criminalistică. Se autoinstalează cu „rbfstab -i” și poate fi dezactivat cu „rbfstab -r”. Conține multe îmbunătățiri față de încarnările anterioare ale lui rebuildfstab. Rebuildfstab este un mijloc tradițional de montare numai pentru citire în distribuțiile orientate spre criminalistică.
2) „mounter” este un instrument de montare GUI care se află în tava de sistem. Dacă se face clic stânga pe pictograma unității din tava de sistem, se activează o fereastră în care utilizatorul poate selecta dispozitivele pe care să le monteze sau să le demonteze. Cu rbfstab activat, toate dispozitivele, cu excepția celor cu eticheta de volum „RBFSTAB”, sunt montate doar în citire pe dispozitivul în buclă. Montarea dispozitivelor de bloc în Caja (browser de fișiere) nu este posibilă pentru un utilizator normal cu rbfstab activat, făcând din mounter o interfață consistentă pentru utilizatori.
Mounter este o aplicație de montare a discurilor care rulează în tava de sistem. Informații generale:
O pictogramă de disc verde înseamnă că sistemul este SIGUR și va monta dispozitive READ-ONLY pe dispozitivul buclucaș.
O pictogramă de disc roșie înseamnă AVERTISMENT, dispozitivele montate vor fi WRITEABLE.
În CAINE 8.0 mounter poate debloca și bloca dispozitive de bloc în modul Read-Only.
Instrucțiuni:
Clic stânga pe pictograma discului pentru a monta un dispozitiv.
Clic dreapta pe pictograma discului pentru a schimba politica de montare a sistemului.
Clicul din mijloc va închide aplicația de montare. Reluați lansarea din meniu.
Dispozitivele montate nu vor fi afectate de modificările politicii de montare. Doar operațiile de montare ulterioare vor fi afectate.
de John Lehr
Viitorie în direct a scripturilor Caja
CAINE include scripturi activate în cadrul browserului web Caja, concepute pentru a simplifica examinarea fișierelor alocate. În prezent, scripturile pot reda multe baze de date, istorii de internet, registre Windows, fișiere șterse și pot extrage date EXIF în fișiere text pentru o examinare ușoară. Instrumentul Quick View automatizează acest proces prin determinarea tipului de fișier și redarea acestuia cu instrumentul corespunzător.
Scripturile Caja de previzualizare live oferă, de asemenea, acces ușor la funcții administrative, cum ar fi transformarea unui dispozitiv atașat în dispozitiv de scriere, trecerea la shell sau deschiderea unei ferestre Caja cu privilegii de administrator. Scriptul „Save as Evidence” (Salvează ca probă) va scrie fișierul (fișierele) selectat(e) într-un dosar „Evidence” de pe desktop și va crea un raport text despre fișier care conține metadatele fișierului și un comentariu al investigatorului, dacă se dorește.
Un script unic, „Identify iPod Owner”, este inclus în setul de instrumente. Acest script va detecta un dispozitiv iPod atașat și montat, va afișa metadatele despre dispozitiv (numele de utilizator curent, numărul de serie al dispozitivului etc.). Investigatorul are opțiunea de a căuta în fișierele media alocate și în spațiul nealocat informații despre utilizatorul iTunes prezente în mediile achiziționate prin intermediul magazinului Apple iTunes, adică numele real și adresa de e-mail.
Scripturile de previzualizare live sunt în lucru. Sunt posibile multe alte scripturi, precum și îmbunătățiri ale scripturilor existente. Dezvoltatorii CAINE salută solicitările de funcții, rapoartele de erori și criticile.
Scripturile de previzualizare s-au născut din dorința de a simplifica extragerea probelor pentru orice investigator cu abilități de bază în utilizarea calculatorului. Acestea îi permit investigatorului să obțină probe de bază pentru a susține investigația fără a avea nevoie de o pregătire avansată în domeniul criminalisticii informatice sau fără a aștepta un laborator de criminalistică informatică. Laboratoarele de criminalistică informatică pot utiliza scripturile pentru triajul dispozitivelor, iar restul setului de instrumente CAINE pentru o examinare criminalistică completă!
John Lehr
——————————————
Root file system spoofing PATCH
Patch-ul modifică modul în care Casper caută mediile de pornire. În mod implicit, Casper va căuta unități de hard disk, unități CD/DVD și alte câteva dispozitive în timpul pornirii sistemului (în timpul etapei în care sistemul încearcă să găsească suportul de pornire cu imaginea corectă a sistemului de fișiere root pe acesta – deoarece încărcătoarele de pornire obișnuite nu transmit niciun fel de date despre suportul utilizat pentru pornire către un sistem de operare în configurațiile Live CD). Corecția noastră este implementată pentru versiunile CD/DVD ale CAINE și permite verificări numai pentru CD/DVD în Casper. Acest lucru rezolvă bug-ul în cazul în care Casper selecta și pornea imagini false ale sistemului de fișiere root pe suporturi de probă (unități de hard disk etc.). —
Suhanov Maxim
Windows Side
CAINE are un Windows IR/Live forensics tools.
Dacă aveți nevoie puteți folosi cadrul IR/Live forensics pe care îl preferați, schimbând instrumentele în pendrive.
.