CAINE 是一個適用於數字取證的 live disc 發行版,基於 Ubuntu。其提供了完整的取證環境,可將現有軟體工具集成為軟體模塊,並提供友好的圖形界面。
其主要設計目標是:
- 提供一個可互操(interoperable)的環境以在數字調查的四個階段為調查者提供幫助;
- 提供一個用戶友好的圖形界面;
- 半自動編撰最終報告。
該項目於日前發布了代號為「Infinity」的 CAINE 10.0 版。這一版本搭載 4.15 版本的 Linux 內核,基於 64 位的 Ubuntu 18.04,支持 UEFI 啟動(及 SecureBoot)。
此版本最顯著的變化是 CAINE 默認將所有塊存儲設備(如 /dev/sda)設為了只讀模式,並配備了一個名為 BlockON/OFF 的 GUI 工具用以解鎖。這一將能夠相對可靠地確保磁碟被意外寫入。
此外,這一版本還包含如下變化:
- 引入新的工具:
- 新的 OSINT;
- Autopsy 4.9;
- APFS 相關工具;
- BTRFS 取證工具;
- NVME SSD 驅動程序。
- 默認禁止 SSH。
- 引入 Windows IR/Live 取證工具:
- Nirsoft suite + launcher, WinAudit, MWSnap, Arsenal Image Mounter, FTK Imager, Hex Editor, JpegView, Network tools, NTFS Journal viewer, Photorec & TestDisk, QuickHash, NBTempoW, USB Write Protector, VLC, Windows File Analyzer.
- rbfstab:
- 這是一個在計算機啟動時或外部設備接入時被激活的工具。其能夠將只讀記錄寫入 /etc/fstab 以使設備被安全的掛載,這方便了取證工作。
- mounter:
- 這是一個位於系統托盤中的磁碟掛載工具。單擊托盤圖標將會彈出一個設備列表窗口,供選擇掛載或者卸載設備。
- ……
此版本的發布通告中包含了諸多其它變化內容。
封面圖片來自於 CAINE 項目首頁。文章內容主要譯自其項目首頁及此版本發布通告。