CAINE (Entorno de investigación asistido por computadora) es una distribución de GNU / Linux de fuente abierta y distribución libre, un sistema operativo orientado a escritorio basado en la última versión del mundo de LTS (soporte a largo plazo) y rsquo; s la distribución más popular de Linux, Ubuntu y diseñada para ser utilizada en operaciones forenses digitales.
Distribuido como un DVD en vivo híbrido de 64 bits
La distribución de CAINE se puede descargar gratis de Softoware como una imagen híbrida de Live DVD ISO que contiene paquetes de software optimizados solo para las plataformas de hardware de 64 bits (x86_64 / amd64). Al ser híbrida, la imagen ISO se puede escribir en un disco DVD en blanco o en una unidad flash USB de 4 GB o superior, lo que le permite iniciar el sistema operativo desde el BIOS de su computadora.
Opciones de arranque
Desde el menú de inicio, el usuario podrá iniciar el sistema en vivo con la configuración normal o en modo de gráficos seguros, realizar una prueba de diagnóstico de memoria del sistema (RAM), iniciar un sistema operativo existente desde la unidad local, así como para iniciar directamente el instalador, cambiar el idioma y agregar parámetros adicionales del núcleo.
Xfce está a cargo de la sesión gráfica
El entorno de escritorio gráfico predeterminado y único de CAINE es Xfce, que proporciona a los usuarios una interfaz muy liviana y con pocos recursos, que utiliza un diseño tradicional compuesto por un único panel transparente ubicado en el borde inferior de la pantalla. El panel incluye varios widgets útiles, como el menú principal, un iniciador de aplicaciones, un administrador de tareas y el área de la bandeja del sistema.
Viene precargado con una amplia gama de herramientas para operaciones forenses digitales
Al estar diseñado desde cero para su uso en operaciones forenses digitales, la distribución de CAINE viene precargada con una amplia gama de herramientas que se pueden usar para diversas operaciones forenses digitales. Estos incluyen Mobius, Autopsy, PhotoRec, QuickHash, TestDisk, XDview, FMount, NBTempo, Fred, sistema de archivos remoto Mounter, Log2Timeline, TkDiff y XHFS.
Lo nuevo en este lanzamiento:
- AGREGADO / CAMBIADO en CAINE 9.0:
- RegRipper, VolDiff, SafeCopy, herramientas PFF, pslistutil, mouseemu, NBTempoX, Osint: Infoga, The Harvester, Tinfoleak regfmount y libregf-utils instalados.
- muchos y muchos scripts y programas ...
- El servidor SSH está deshabilitado de manera predeterminada (consulte la página Manual para habilitarlo).
- Autopsia 2.24 corregida: srch_strings cambió con & quot; Cadenas de GNU & quot; renombrado en srch_strings.
- muchos otros arreglos y actualizaciones de software.
- Lado de Windows:
- Windows Side with para respuesta a incidentes / Análisis en vivo en sistemas Windows.
- Herramientas: Nirsoft suite + launcher, WinAudit, MWSnap, Arsenal Image Mounter, FTK Imager, Hex Editor, JpegView, herramientas de red, NTFS Journal viewer, Photorec & TestDisk, QuickHash, NBTempoW, USB Write Protector, VLC, Windows File Analyzer .
Qué hay de nuevo en la versión 8.0:
- Kernel 4.4.0-45
- Basado en Ubuntu 16.04 64BIT - UEFI / SECURE BOOT Ready!
- CAINE 8.0 puede arrancar en Uefi / Uefi + arranque seguro / Legacy Bios / Bios.
- SystemBack es el instalador.
- La noticia importante es que CAINE 8.0 bloquea todos los dispositivos de bloque (por ejemplo, / dev / sda), en modo de solo lectura. Puede usar una herramienta con una GUI llamada BlockON / OFF presente en CAINE's Desktop.
- Este nuevo método de bloqueo de escritura garantiza que todos los discos estén realmente protegidos de la escritura accidental de operaciones, ya que están bloqueados en modo de solo lectura.
- Si necesita escribir un disco, puede desbloquearlo con BlockOn / Off o usando & quot; Mounter & quot; cambiando la política en modo escriturable.
- Otra noticia importante es el servidor y el cliente de VNC, para controlar CAINE desde remoto y, finalmente, CAINE siempre es más rápido durante el arranque.
- CAINE 8.0 puede arrancar en la RAM (toram).
- AÑADIDO / CAMBIADO:
- IMG_MAP (imagen dd / raw y ewf mounter)
- XAll 1.5
- RecuperaBit
- SQLParse
- PEFrame
- Yara
- Análisis de PDF
- MemDump
- ADB y LibMobileDevice
- Gigolo (cliente del sistema de archivos de red)
- Shrew (administrador de VPN)
- wxHexEditor
- Jeex
- XRCed
- PffLib
- Tilda
- imount, vhdimount y vhdiinfo
- samba
- vblade
- iscsitarget
- hashdb
- muchos y muchos scripts y programas
- NUEVO RBFstab y Mounter:
- & quot; rbfstab & quot; es una utilidad que se activa durante el inicio o cuando un dispositivo está conectado. Escribe las entradas de solo lectura en / etc / fstab para que los dispositivos se monten de manera segura para las imágenes / exámenes forenses. Se autoinstala con 'rbfstab -i' y se puede desactivar con 'rbfstab -r'. Contiene muchas mejoras sobre encarnaciones de reconstrucciones anteriores. Rebuildfstab es un medio tradicional para el montaje de solo lectura en las distribuciones de orientación forense.
- & quot; mounter & quot; es una herramienta de montaje GUI que se encuentra en la bandeja del sistema. Al hacer clic con el botón izquierdo en el icono de la unidad de la bandeja del sistema se activa una ventana donde el usuario puede seleccionar dispositivos para montar o desmontar. Con rbfstab activado, todos los dispositivos, excepto los que tienen la etiqueta de volumen & quot; RBFSTAB & quot ;, están montados de solo lectura en el dispositivo de bucle. Los dispositivos de bloque de montaje en Caja (buscador de archivos) no son posibles para un usuario normal con rbfstab activado, haciendo que Mounter sea una interfaz consistente para los usuarios.
- Mounter es una aplicación de montaje en disco que se ejecuta en la bandeja del sistema.
- Live Preview Caja Scripts:
- CAINE incluye scripts activados dentro del navegador web de Caja diseñados para hacer que el examen de los archivos asignados sea simple. Actualmente, las secuencias de comandos pueden representar muchas bases de datos, historiales de Internet, registros de Windows, archivos eliminados y extraer datos EXIF a archivos de texto para facilitar su examen. La herramienta Vista rápida automatiza este proceso al determinar el tipo de archivo y representarlo con la herramienta adecuada.
- Los scripts Caja de vista previa en vivo también brindan fácil acceso a funciones administrativas, como hacer que un dispositivo conectado sea grabable, colocarlo en el shell o abrir una ventana de Caja con privilegios de administrador. El & quot; Guardar como evidencia & quot; el script escribirá los archivos seleccionados en & quot; Evidencia & quot; carpeta en el escritorio y cree un informe de texto sobre el archivo que contiene los metadatos del archivo y un comentario del investigador, si lo desea.
- Se incluye un script único, & quot; Identify iPod Owner & quot ;, en el conjunto de herramientas. Este script detectará un dispositivo iPod conectado y montado, mostrará metadatos sobre el dispositivo (nombre de usuario actual, número de serie del dispositivo, etc.). El investigador tiene la opción de buscar los archivos multimedia asignados y el espacio no asignado para la información de usuario de iTunes presente en los medios comprados a través de la tienda iTunes de Apple, es decir, nombre real y dirección de correo electrónico.
- Los scripts de vista previa en vivo son un trabajo en progreso. Se pueden usar muchos más scripts así como las mejoras en los scripts existentes. Los desarrolladores de CAINE aceptan solicitudes de funciones, informes de errores y críticas.
- Los guiones de vista previa nacieron del deseo de hacer que la extracción de evidencia sea simple para cualquier investigador con conocimientos básicos de informática. Permiten que el investigador obtenga evidencia básica para respaldar la investigación sin la necesidad de entrenamiento forense avanzado de computación o esperando un laboratorio forense de computadora. ¡Los laboratorios de informática forense pueden usar los scripts para el triage de dispositivos y el resto del conjunto de herramientas de CAINE para un examen forense completo!
- Sistema de archivos de raíz spoofing PATCH:
- El parche cambia la forma en que Casper busca los medios de arranque. De forma predeterminada, Casper observará las unidades de disco duro, unidades de CD / DVD y algunos otros dispositivos mientras arranca el sistema (durante la etapa en que el sistema intenta encontrar el medio de arranque con la imagen del sistema de archivos raíz correcta, porque los gestores de arranque comunes no pasar cualquier información sobre los medios utilizados para arrancar en un sistema operativo en configuraciones de Live CD). Nuestro parche está implementado para versiones de CD / DVD de CAINE y habilita controles solo de CD / DVD en Casper. Esto resuelve el error cuando Casper selecciona e inicia imágenes falsas del sistema de archivos raíz en medios probatorios (unidades de disco duro, etc.).
Qué hay de nuevo en la versión 7.0:
- Núcleo 3.13.0-66
- Basado en Ubuntu 14.04.1 64BIT - UEFI / SECURE BOOT Ready!
- Caine 7.0 puede arrancar en Uefi / Uefi + arranque seguro / Legacy Bios / Bios.
- SystemBack es el instalador.
- La noticia importante es que CAINE 7.0 bloquea todos los dispositivos de bloque (por ejemplo, / dev / sda), en modo de solo lectura. Puede usar una herramienta con una GUI llamada BlockON / OFF presente en Caine's Desktop.
- Este nuevo método de bloqueo de escritura garantiza que todos los discos estén realmente protegidos de la escritura accidental de operaciones, ya que están bloqueados en modo de solo lectura.
- Si necesita escribir un disco, puede desbloquearlo con BlockOn / Off o usando & quot; Mounter & quot; cambiando la política en modo escriturable.
- Otra noticia importante es el servidor y el cliente de VNC, para controlar Caine desde remoto y, finalmente, Caine siempre es más rápido durante el inicio.
- Caine 7.0 puede arrancar en la RAM (toram).
- AÑADIDO / CAMBIADO:
- FMOUNT fijo
- XAll
- BTCScan (escáner Bitcoin)
- dmraid
- okteta li>
- servidor x11vnc
- gvncviewer
- ssh
- openssh
- lectura
- unBlock (bloque en dispositivos de bloque RO / RW)
- mount-nfs
- bisturí 2.1
- nuevo peframe
- damm
- find_times
- parse_VSS_RFC
- 4n6 scripts actualizados
- quickhash actualizado
- BleachBit
- Cuero
- vshot
- zulucrypt
- ddrescue-gui
- ddrescueView
- utilidad dd
- iloot
- python_regparse
- libmobiledevice
- iFuse
- ddrescueview
- INDEXparse.py, Shellbags.py, evtxexport.py, extxinfo.py
- Cliente NFS.
Novedades en la versión 6.0:
- solicitud de contraseña corregida en polkit
- solicitud de contraseña fija en modo de texto e tty
- Error de Bash que arregló el shellshock
- mount policy siempre en modo ro y loop
- fstrim deshabilitado (permite descomentar la fila en /etc/cron.weekly/fstrim)
- autopsia parchada por Maxim Suhanov
- (Manejo de directorios HFS fijo,
- Manejo del sistema de volumen Sun VTOC fijo,
- marcas de tiempo incorrectas (que son iguales a cero) se manejan como 01/01/1970 00:00:00)
- gzrt
- img_map
- photorec gui
- undbx
- ddrescueview
- gddrescue
- tipo de disco
- Peframe
- quickhash
- BEViewer Bulk Extractor
- ddrutility
- ataraw
- frag_find
- log2timeline plaso - supertimeline
- tinfoleak
- volcado de memoria de inicio por firewire
- volatilidad
- 4n6-scripts
- reparación de arranque
- grub-customizer
- Controladores de tarjeta inalámbrica Broadcom Corporation BCM4313
Qué hay de nuevo en la versión 5.0:
- Kernel 3.8.0-35
- Basado en Ubuntu 12.04.3 64BIT - UEFI / SECURE BOOT Ready!
- Caine 5.0 en pendrive puede arrancar en Uefi / Uefi + arranque seguro / Legacy Bios / Bios.
- Caine 5.0 en DVD puede iniciarse en Legacy Bios / Bios.
- SystemBack es el nuevo instalador.
- Caine tiene un nuevo logotipo, gracias al Sr. Nino Salvati.
- AÑADIDO / CAMBIADO:
- gimp
- libfusedev
- fileinfo 0.6
- traceroute
- sdparm
- log2timeline 0.64
- rdiff
- mdbtool
- undbx
- readdbx
- myrescue
- libshadow vshadowmount
- zfs-fusible
- fmount
- rdd
- mostrar
- ext3grep
- e2undel
- recuperar
- bulk_extractor
- gzrecover
- dislocker
- undbx
- aoetools
- reparación de arranque
- grub-customizer
- Controladores de tarjeta inalámbrica Broadcom Corporation BCM4313
Qué hay de nuevo en la versión 3.0:
- Kernel 3.2.0-32
- MATE 1.4
- iphonebackupanalyzer
- exiftool phil harvey
- tcpflow
- tshark
- john
- wireshark
- firefox
- vinetto
- mdbtool
- gdisk
- LVM2
- tcpdump
- Mobius
- QuickHash
- SQLiteBrowser
- FRED
- docanalyzer
- nerohistanalyzer
- knowmetanalyzer
- PEFrame
- grokEVT
- zenmap (nmap)
- herramientas de blackberry
- Herramientas IDevice
Nuevos SCRipts NAUTILUS
Qué hay de nuevo en la versión 2.0:
de la investigación digital
Lo que el nuevo en la versión 1.5:.
- actualizado Kernel 2,6 a 24,25
- Agregado:
- lnk_parse
- lnk.sh
- Mork
- steghide
- UserAssist
- dos2unix
- chntpw
- tkdiff
- xdeview
- md5deep, Ante todo actualizado
- lanzadores fijo
- manual actualizado
- readme.txt en el directorio de scripts bash
- Photorec y TestDisk y XSteg-forense en el menú
- lista Agregado Ventana y Mostrar escritorio.
Lo que el nuevo en la versión 0.5:
- - WinTaylor, frontend forense para Windows Medio Ambiente
- - página HTML compatible con IE de gestión de las herramientas forenses en Windows
- - NTFS-3G actualizado a 01/01/2009 (resolver un error NTFS-3g)
- - Nueva opción de arranque: el modo de texto .
- - Ubuntu 8.04 paquetes de actualización
- - Firefox 3.0.6
- - Gtkhash, frontend para hash de archivos
- - Las nuevas características de Información: Nombre del Investigador y casos Agregado
- - informe en varios idiomas: italiano, Inglés, alemán, francés y portugués
- - se inicie Firefox con la lista de herramientas y un manual de utilización breve .
Comentarios que no se encuentran