CAINE 是一個適用於數字取證的 live disc 發行版,基於 Ubuntu。其提供了完整的取證環境,可將現有軟體工具集成為軟體模塊,並提供友好的圖形界面。

CAINE 10
CAINE 10

其主要設計目標是:

  • 提供一個可互操(interoperable)的環境以在數字調查的四個階段為調查者提供幫助;
  • 提供一個用戶友好的圖形界面;
  • 半自動編撰最終報告。

該項目於日前發布了代號為「Infinity」的 CAINE 10.0 版。這一版本搭載 4.15 版本的 Linux 內核,基於 64 位的 Ubuntu 18.04,支持 UEFI 啟動(及 SecureBoot)。

此版本最顯著的變化是 CAINE 默認將所有塊存儲設備(如 /dev/sda)設為了只讀模式,並配備了一個名為 BlockON/OFF 的 GUI 工具用以解鎖。這一將能夠相對可靠地確保磁碟被意外寫入。

此外,這一版本還包含如下變化:

  • 引入新的工具:
    • 新的 OSINT;
    • Autopsy 4.9;
    • APFS 相關工具;
    • BTRFS 取證工具;
    • NVME SSD 驅動程序。
  • 默認禁止 SSH。
  • 引入 Windows IR/Live 取證工具:
    • Nirsoft suite + launcher, WinAudit, MWSnap, Arsenal Image Mounter, FTK Imager, Hex Editor, JpegView, Network tools, NTFS Journal viewer, Photorec & TestDisk, QuickHash, NBTempoW, USB Write Protector, VLC, Windows File Analyzer.
  • rbfstab:
    • 這是一個在計算機啟動時或外部設備接入時被激活的工具。其能夠將只讀記錄寫入 /etc/fstab 以使設備被安全的掛載,這方便了取證工作。
  • mounter:
    • 這是一個位於系統托盤中的磁碟掛載工具。單擊托盤圖標將會彈出一個設備列表窗口,供選擇掛載或者卸載設備。
  • ……

此版本的發布通告中包含了諸多其它變化內容。


封面圖片來自於 CAINE 項目首頁。文章內容主要譯自其項目首頁及此版本發布通告。