CAINE 是一个适用于数字取证的 live disc 发行版,基于 Ubuntu。其提供了完整的取证环境,可将现有软件工具集成为软件模块,并提供友好的图形界面。
其主要设计目标是:
- 提供一个可互操(interoperable)的环境以在数字调查的四个阶段为调查者提供帮助;
- 提供一个用户友好的图形界面;
- 半自动编撰最终报告。
该项目于日前发布了代号为「Infinity」的 CAINE 10.0 版。这一版本搭载 4.15 版本的 Linux 内核,基于 64 位的 Ubuntu 18.04,支持 UEFI 启动(及 SecureBoot)。
此版本最显著的变化是 CAINE 默认将所有块存储设备(如 /dev/sda)设为了只读模式,并配备了一个名为 BlockON/OFF 的 GUI 工具用以解锁。这一将能够相对可靠地确保磁盘被意外写入。
此外,这一版本还包含如下变化:
- 引入新的工具:
- 新的 OSINT;
- Autopsy 4.9;
- APFS 相关工具;
- BTRFS 取证工具;
- NVME SSD 驱动程序。
- 默认禁止 SSH。
- 引入 Windows IR/Live 取证工具:
- Nirsoft suite + launcher, WinAudit, MWSnap, Arsenal Image Mounter, FTK Imager, Hex Editor, JpegView, Network tools, NTFS Journal viewer, Photorec & TestDisk, QuickHash, NBTempoW, USB Write Protector, VLC, Windows File Analyzer.
- rbfstab:
- 这是一个在计算机启动时或外部设备接入时被激活的工具。其能够将只读记录写入 /etc/fstab 以使设备被安全的挂载,这方便了取证工作。
- mounter:
- 这是一个位于系统托盘中的磁盘挂载工具。单击托盘图标将会弹出一个设备列表窗口,供选择挂载或者卸载设备。
- ……
此版本的发布通告中包含了诸多其它变化内容。
封面图片来自于 CAINE 项目首页。文章内容主要译自其项目首页及此版本发布通告。
