坚Linux的代表C omputer一个ided我nvestigativeênvironment。这是一个意大利Linux实时发行版,一个数字取证项目,始于2008年。它使用老式桌面环境,并配有一流的专业工具。
In this article, we will discuss the following topics:
- What is CAINE?
- What is the Purpose behind the Introduction of CAINE?
- What are the Pre-requisites for getting started with CAINE?
- What are the supported platforms
- CAINE Look and Feel.
- Major Forensic Tools.
让我们开始并详细讨论每个主题。
什么是CAINE?
CAINE(计算机辅助调查环境?)提供严格的安全性和内置的法证调查工具。CAINE围绕一个完整的调查环境而构建,该环境被组织为将现有软件工具集成为软件模块并提供友好的图形用户界面。目前,该项目CAINE Linux的经理是Nanni Bassetti(意大利巴里)。
引入CAINE的目的是什么?
CAINE旨在保证的主要目标如下:
- 其操作环境旨在提供执行数字取证调查过程(如保存,收集,检查和分析)所需的所有取证工具。
- 它提供了用户友好的图形用户界面以及用户友好的取证工具。
- 它可以从闪存驱动器等可移动介质启动,也可以从光盘启动,并在内存中运行。
- 它可以轻松地安装到物理或虚拟系统上。
- 在实时模式下,CAINE可以在数据存储对象上运行,而不必启动操作系统。
开始使用CAINE的先决条件是什么?
在本节中,我们将介绍开始使用CAINE的一些系统要求。
- 由于CAINE基于64位Ubuntu 16.04,使用Linux Kernel 4.4.0-97,因此,如果要将CAINE作为实时光盘运行,则CAINE系统要求类似于Ubuntu 16.04。
- 2GHz双核处理器或更高。
- 2GB系统内存。
- 它可以在物理系统或虚拟环境(例如VMWare Workstation)上运行。
受支持的平台是什么?
CAINE Linux有几个软件应用程序,库和脚本,可在命令行或图形环境中使用它们来执行取证活动。它可以对在Microsoft Windows,Linux和某些Unix系统上创建的数据对象执行数据分析。 CAINE Linux 9.0版有趣的功能之一是,默认情况下它将所有块设备设置为只读模式。
CAINE外观
在本节中,我们将引导您以GUI模式浏览CAINE Linux的外观。
- CAINE Linux仅使用MATE桌面环境,它是GNOME 2桌面环境的分支。
- MATE保留了GNOME 3之前升级的简洁,简洁的用户界面,因此是快速,可靠的桌面的理想选择。
- CAINE和MATE的结合带来了流畅的界面和直观的桌面。
- 全面板栏透明度的默认设置直接融合到桌面背景中。
- 应用程序图标可以轻松固定在面板或桌面上,以快速启动。
- 您可以将虚拟工作场所切换器小程序添加到扩展坞,以方便点对点访问。
主要取证工具
CAINE Linux提供了多种软件工具,可用于内存,数据库,网络和取证分析。可以使用命令行模式以及图形用户界面模式对FAT / ExFAT,NTFS,Ext2,Ext3,HFS和ISO 9660等文件系统进行文件图像系统分析。 CAINE Linux支持原始(dd)和专家见证/高级文件格式的磁盘映像。可以使用CAINE内置的工具或使用EnCase或Forensic Tool Kit等第三方工具来获取磁盘映像。
这是CAINE Linux附带的一些工具的列表:
- 验尸:这是一个开源数字取证工具,支持:
- 档案的取证分析。
- 哈希过滤。
- 电子邮件和网络工件分析。
- 关键词搜索。
尸检只是The Sleuth Kit的图形用户界面。
- Sleuth Kit:这是一个开源命令行工具,支持对文件系统和磁盘卷进行取证检查。
- Wireshark:这是一个数字取证工具,支持对数据包捕获(* .pcap)和网络流量的交互式收集进行非实时分析。
- PhotoRec:此工具支持从硬盘,光学介质和数码相机恢复丢失的文件。
- Fsstat:此工具显示有关映像或存储对象的文件系统统计信息。
- RegRipper:这是一个用Perl编写的开源工具,可以从注册表数据库中提取/解析键,值,数据等信息,以进行数据分析。
- Tinfoleak:这是一个开源工具,用于收集详细的Twitter情报分析。
参考– https://www.caine-live.net/