Nytt! CAINE 11.0 ”Wormhole” är ute!
Officiella CAINE GNU/Linux-distributionen senaste utgåvan.
CAINE (Computer Aided INvestigative Environment) är en italiensk GNU/Linux-distribution som skapats som ett projekt för digital kriminalteknisk undersökning
Projektledaren för närvarande är Nanni Bassetti (Bari – Italien).
CAINE erbjuder en komplett kriminalteknisk miljö som är organiserad för att integrera befintliga programvaruverktyg som programvarumoduler och för att tillhandahålla ett vänligt grafiskt gränssnitt.
De huvudsakliga designmålen som CAINE syftar till att garantera är följande:
- en driftskompatibel miljö som stöder den digitala utredaren under de fyra faserna av den digitala utredningen
- ett användarvänligt grafiskt gränssnitt
- användarvänliga verktyg
Vi rekommenderar att du läser sidan om CAINE:s policy noggrant.
CAINE representerar helt och hållet andan i filosofin om öppen källkod, eftersom projektet är helt öppet kan alla ta över arvet från den tidigare utvecklaren eller projektledaren. Distributionen är öppen källkod, Windows-sidan är gratisprogram och sist men inte minst är distributionen installerbar, vilket ger möjlighet att bygga om den i en ny varumärkesversion, vilket ger ett långt liv åt detta projekt. ….
Nanni Bassetti
SPECIELLT TACK TILL: Raul Capriotti, Aniello Luongo, Lorenzo Faletra, Andrea Lazzarotto
ÄNDRINGSFÖRTECKNING CAINE 11.0 ”Wormhole”
Kernel 5.0.0.0-32
Baserad på Ubuntu 18.04 64BIT – UEFI Ready!
CAINE 11.0 kan starta upp på Uefi/Uefi/Legacy Bios/Bios.
Om secureboot misslyckades, försök att inaktivera det från UEFI.
Om du vill skapa en hybridavbildning, försök så här:
isohybrid -u caine11.0.iso
Den viktiga nyheten är att CAINE 11.0 blockerar alla blockenheter (t.ex. /dev/sda) i läget Read-Only. Du kan använda ett verktyg med ett GUI som heter Unblock och som finns på CAINEs skrivbord.
Denna nya skrivblockeringsmetod säkerställer att alla diskar verkligen bevaras från oavsiktliga skrivoperationer, eftersom de är låsta i skrivbart läge.
Om du behöver skriva på en disk kan du låsa upp den med UnBlock eller med hjälp av ”Mounter” som ändrar policyn i skrivbart läge. 
CAINE är alltid snabbare under uppstarten.
CAINE 11.0 kan starta upp till RAM (toram).
INSTALLATION AV CAINE: UnBlock (blockdev) sätter enheten i WRITABLE-läge -> använd Ubiquity -> Välj System Install -> Välj användare: CAINE password: CAINE host: CAINE -> Go!
Ubiquity är installationsprogrammet, även om du för gamla BIOS-baserade datorer måste köra BootRepair efter slutet av Ubiquity!.
Efter den första uppstarten kör du Grub Customizer och sätter RW istället för RO i uppstartsmenyn.
ADDED/CHANGED:
VIKTIGA ÄNDRINGAR:
Alla enheter är blockerade i läget Read-Only, som standard.
Nya verktyg, nya OSINT, Autopsy 4.13 onboard, APFS redo, BTRFS forensiskt verktyg, NVME SSD-drivrutiner redo!
SSH-server inaktiverad som standard (se Manuell sida för att aktivera den).
SCRCPY – screen your android device
Autopsy 4.13 + ytterligare plugins av McKinnon.
X11VNC Server – för att fjärrstyra CAINE.
hashcat
Nya skript (Forensics Tools – Analysis menu)
AutoMacTc – ett forensiskt verktyg för Mac.
Bitlocker – volatilitetsinsticksmodul
Autotimeliner – extraherar automatiskt forensisk tidslinje från flyktiga minnesdumpar.
Firmwalker – firmwareanalysator.
CDQR – Cold Disk Quick Response tool
Många andra fixing and software updating.
Många och många skript och program….
Windows Side:
CAINE har en Windows IR/Live forensics tools.
Ny utgåva av Arsenal Image Mounter från Arsenal Recon
Om du behöver det kan du använda det IR/Live forensics ramverk du föredrar, ändra verktygen i din pendrive.
————————————————
NEW RBFstab and Mounter
1) ”rbfstab” är ett verktyg som aktiveras under uppstarten eller när en enhet kopplas in. Det skriver skrivningar som är skrivskyddade till /etc/fstab så att enheter monteras säkert för forensisk avbildning/undersökning. Det installeras själv med ”rbfstab -i” och kan inaktiveras med ”rbfstab -r”. Den innehåller många förbättringar jämfört med tidigare versioner av rebuildfstab. Rebuildfstab är ett traditionellt medel för skrivskyddad montering i forensiskt inriktade distributioner.
2) ”mounter” är ett GUI-monteringsverktyg som sitter i systemfältet. Genom att vänsterklicka på enhetsikonen i systemfältet aktiveras ett fönster där användaren kan välja enheter som ska monteras eller avmonteras. Med rbfstab aktiverat monteras alla enheter, utom de med volymetikett ”RBFSTAB”, skrivskyddade på loop-enheten. Montering av blockenheter i Caja (filbläddraren) är inte möjlig för en normal användare med rbfstab aktiverat vilket gör mounter till ett enhetligt gränssnitt för användarna.
Mounter är ett program för montering av diskar som körs i systemfältet. Allmän information:
En grön disksymbol betyder att systemet är SÄKERT och kommer att montera enheter ENDAST LÄSA på loop-enheten.
En röd disksymbol betyder VARNING, monterade enheter kommer att vara SKRIVBARA.
I CAINE 8.0 kan mounter låsa upp och låsa blockenheter i läget ENDAST LÄSA.
Instruktioner:
Vänsterklicka på diskikonen för att montera en enhet.
Högerklicka på diskikonen för att ändra systemets monteringspolicy.
Mittklicka för att stänga mounterprogrammet. Starta på nytt från menyn.
De monterade enheterna påverkas inte av ändringarna av monteringspolicyn. Endast efterföljande monteringsoperationer kommer att påverkas.
av John Lehr
Live Preview Caja Scripts
CAINE innehåller skript som aktiveras i webbläsaren Caja och som är utformade för att göra undersökningen av tilldelade filer enkel. För närvarande kan skripten återge många databaser, internethistorik, Windows-register, raderade filer och extrahera EXIF-data till textfiler för enkel undersökning. Quick View-verktyget automatiserar denna process genom att bestämma filtypen och rendera den med lämpligt verktyg.
Den levande förhandsgranskningen Caja-skript ger också enkel tillgång till administrativa funktioner, t.ex. att göra en ansluten enhet skrivbar, att släppa till skalet eller att öppna ett Caja-fönster med administratörsprivilegier. Skriptet ”Save as Evidence” skriver den eller de valda filerna till en ”Evidence”-mapp på skrivbordet och skapar en textrapport om filen som innehåller filmetadata och en utredarkommentar, om så önskas.
Ett unikt skript, ”Identify iPod Owner”, ingår i verktygslådan. Detta skript upptäcker en ansluten och monterad iPod-enhet och visar metadata om enheten (aktuellt användarnamn, enhetens serienummer osv.). Utredaren har möjlighet att söka i tilldelade mediefiler och icke tilldelat utrymme efter iTunes-användarinformation som finns i medier som köpts via Apple iTunes Store, dvs. verkligt namn och e-postadress.
Skriptet för förhandsgranskning i realtid är ett pågående arbete. Många fler skript är möjliga liksom förbättringar av de befintliga skripten. CAINE-utvecklarna välkomnar önskemål om funktioner, felrapporter och kritik.
De förhandsgranskade skripten föddes ur en önskan att göra bevisutvinning enkel för alla utredare med grundläggande datorkunskaper. De gör det möjligt för utredaren att få fram grundläggande bevis till stöd för utredningen utan att behöva avancerad datorforensisk utbildning eller vänta på ett datorforensiskt laboratorium. Datorkriminaltekniska laboratorier kan använda skript för triage av enheter och resten av CAINE-verktygslådan för en fullständig kriminalteknisk undersökning!
John Lehr
——————————————
Root file system spoofing PATCH
Patchen ändrar sättet som Casper söker efter startmedia. Som standard tittar Casper på hårddiskar, CD/DVD-enheter och vissa andra enheter när systemet startas upp (under det skede då systemet försöker hitta startmediet med rätt avbildning av rotfilsystemet på det – eftersom vanliga bootloaders inte skickar några uppgifter om media som används för uppstart till ett operativsystem i Live CD-konfigurationer). Vår patch är implementerad för CD/DVD-versioner av CAINE och möjliggör CD/DVD-kontroller i Casper. Detta löser felet när Casper skulle välja och starta upp falska avbildningar av rotfilsystem på bevismedier (hårddiskar etc.). —
Suhanov Maxim
Windows Side
CAINE har en Windows IR/Live forensics-verktyg.
Om du behöver det kan du använda det IR/Live forensics-ramverk du föredrar, och ändra verktygen i din pendrive.