View
30
Download
0
Category
Preview:
DESCRIPTION
utilizar CAIN para informatica forense
Citation preview
7/5/2015 CAINEVivoUSB/DVDinformticaforenseforensedigital
http://www.cainelive.net/ 1/5
CAIN.E.ComputerAidedMedioAmbienteInvestigacin
RSSCAINERSS
NUEVO!CAINE6.0DarkMatterestfuera!WinUFOparaLiveForense06/Oct/2014
CAINE6.064bit"materiaoscura"OficialCaineGNU/Linuxdistroltimaversin.
CAINE (ComputerAided investigativoparaelMedioAmbiente) esun italiano deGNU/Linuxdedistribucindirecto creadocomounproyectoDigitalForensicsActualmenteeldirectordelproyectoesNanniBassetti.CAINEofreceunentorno forense completoque seorganizpara integrarherramientasde softwareexistentes,mdulosde softwareyproporcionarunamigable interfazgrfica.Losprincipalesobjetivosdediseoque tiene comoobjetivogarantizarCAINEson los siguientes:
unentorno interoperablequeapoyael investigadordigitaldurante las cuatro fasesde la investigacindigitalesuna interfazgrfica fcildeusarherramientasde fciluso
Te recomendamos leer lapginaen laspolticasCAINE cuidado.
CAINErepresentaplenamenteel espritude laOpenSource filosofa,porqueelproyectoest completamenteabierto, todoelmundopodaasumir el legadodeldesarrolladoranteriorogerentedelproyecto.Ladistribucinesde cdigoabierto, el ladodeWindows(Wintaylor) esde cdigoabiertoy,porltimoperonomenos importante, ladistroes instalable,dandoas laoportunidaddereconstruirlo enunanuevaversin,por loquedauna largavidaa esteproyecto. ...NanniBassetti
7/5/2015 CAINEVivoUSB/DVDinformticaforenseforensedigital
http://www.cainelive.net/ 2/5
CAMBIOSCAINE6.0"DarkMatter"
Kernel3.13.036BasadoenUbuntu14.04.164BITUEFI/arranqueseguroListo!
Caine6.0puedearrancarenUEFI/UEFI+segurodearranque/LegacyBios/Biografas.
SystemBackeselnuevoinstalador.
AADIDO/CAMBIADO:
solicituddecontraseafijaenpolkitfijosolicituddecontraseaenmodotextoettybugBashshellshockfijomontajepolticasiempreenroyelmododebuclefstrimdiscapacitados(habilitadodescomentandolafilaen/etc/cron.weekly/fstrim)autopsiaparcheadoMaximSuhanov:(directoriosHFSmanipulacinfijos,sistemadevolumendeSunVTOCmanipulacinfijo,marcasdetiempoincorrectas(quesonigualesacero)semanejancomo01/01/197000:00:00)GzrtDislockerImg_mapQPhotorec(guiphotorec)UndbxDdrescueviewGddrescuedisktypePeframeQuickHashBEViewergranelExtractorDdrutilityAtarawFrag_findLog2timelineplasosupertimelineTinfoleakInceptiondumpermemoriafirewireVolatilidad4n6scriptsdearranquede reparacindegrubpersonalizador controladoresde tarjetas inalmbricasBroadcomBCM4313Corporacin deWindowsSide:WinUFOporRespuestaaIncidentes/envivoAnlisisensistemasWindows.NUEVORBFstabyMounter 1)"rbfstab" esunautilidadqueseactivaduranteelarranqueocuandoundispositivoestenchufado.Seescribeslo lecturaentradasa/etc/fstabparadispositivossemontandeformaseguraduranteforensedeimgenes/examen.Esautoinstalacincon 'rbfstabi'ysepuededesactivarcon 'rbfstabr'.Contienemuchasmejorasrespectoaanterioresencarnacionesrebuildfstab.RebuildfstabesunmediotradicionalparaelmontajeenlasdistribucionesforensesOrientdeslo lectura.2)"montador" esunaherramientademontajeGUIquesesientaenlabandejadelsistema.Izquierdaclicenel iconodelaunidadbandejadesistemaactivaunaventanadondeelusuariopuedeseleccionar losdispositivosdemontajeounmount.Conrbfstabactivadotodoslosdispositivos,exceptoaquellosconetiquetadevolumen"RBFSTAB",semontandeslo lecturaeneldispositivodebucle.MontajededispositivosdebloqueenCaja(exploradordearchivos)noesposibleparaunusuarionormalconrbfstabactivahaciendomontadorunainterfazconsistenteparalosusuarios.Mounter esunaaplicacindemontajedediscoqueseejecutaenlabandejadelsistema.InformacinGeneral: Uniconodeldiscoverdesignificaqueelsistemaessegurayvaamontardispositivosdeslo lecturaeneldispositivodebucle.UniconodediscorojosignificaADVERTENCIA,dispositivosmontadosserESCRIBIBLE.Instrucciones:Hagaclic izquierdoen el iconodeldiscoparamontarundispositivo.Hagaclic enel iconodediscoparacambiarelsistemademontaje lapoltica.Orienteclic cerrar laaplicacinmontador.Relanzamientodelmen.Losdispositivosmontadosnosevernafectadosporloscambiosdepolticademontaje.OperacionesdemontajeSloposterioressevernafectados. porJohnLehrScriptsLivePreviewCaja CAINEincluyesecuenciasdecomandosactivadosenelnavegadorwebdeCajadiseadaparahacerexamendelosexpedientesasignadossimples.Enlaactualidad, losscriptspuedenhacerquemuchasbasesdedatos,historiasdeInternet, losregistrosdeWindows,archivosborrados,yextraer losdatosEXIFenarchivosdetextoparasuexamenfcil.LaherramientaVistarpidaautomatizaesteprocesomediante ladeterminacindeltipodearchivoyquelohacenconlaherramientaadecuada.Losvivosguionesvistapreviade laCajatambinproporcionanfcilaccesoafuncionesadministrativas,comohacerunagrababledispositivoconectado,dejandocaera lacscara,oabrirunaCajaventanaconprivilegiosdeadministrador.El"Guardarcomoevidencia"guinescribirelarchivo(s)seleccionadoaunacarpeta"Evidencia"enelescritorioycrearuninformedetextosobreelarchivoquecontienelosmetadatosdelarchivoyuncomentario investigador,sisedesea.Unaescrituranica,"Identificar iPodPropietario",se incluyeenelconjuntodeherramientas.EstescriptdetectaunadjuntoymontadoiPoddedispositivos,pantallametadatossobreeldispositivo(nombredeusuario,nmerodeseriedeldispositivo,etc.).El investigadortienelaopcindebuscarlosarchivosdemediosasignadosyespacionoasignadoparala informacindeiTunesdelusuariopresenteenlosmediosdecomunicacincompradosatravsdelatiendaiTunesdeApple,esdecir,nombrerealydireccindecorreoelectrnico.Losscriptsdevistapreviaenvivosonuntrabajoenprogreso.Muchosmsguionessonposiblescomosonmejorasenlosscriptsexistentes.LosdesarrolladoresCAINEbienvenidapeticiones, informesdeerrores,y lascrticas.Losscriptsdevistaprevianacierondeundeseodehacer laextraccindepruebassimpleparacualquier investigadorconconocimientosbsicosdeinformtica.Permitenqueel investigadorparaobtenerevidenciabsicaparaapoyar la investigacinsin lanecesidadde
7/5/2015 CAINEVivoUSB/DVDinformticaforenseforensedigital
http://www.cainelive.net/ 3/5
formacinavanzadaeninformticaforenseoesperarenunlaboratoriodeinformticaforense.Informticaforenselaboratoriospuedenutilizar lassecuenciasdecomandosparalaseleccindeldispositivoyelrestodelconjuntodeherramientasCAINEparaunexamenforensecompleto!JohnLehrsistemadesuplantacindearchivosrazPATCH ElparchecambialaformaencmoCasperbuscaelmediodearranque.Deformapredeterminada,Casperseverenunidadesdediscoduro,CD/DVDdrivesyotrosdispositivosduranteelarranquedelsistema(durante laetapaenqueelsistematratadeencontrarelmediodearranquedeimagendelsistemadearchivosrazcorrectaenlconporquegestoresdearranquecomnnohacerpasarningndatosobrelosmediosutilizadosparaelarranquedeunsistemaoperativoenconfiguracionesdeLiveCD).Nuestroparcheest implementadoparaCDversiones/DVDdeCaineypermiteCD/chequesDVDsloenCasper.EstoresuelveelerrorcuandoCasperseleccionarayarrancar las imgenesdelsistemadearchivosrazfalsosenlosmediosdeprueba(unidadesdediscoduro,etc.).SuhanovMaximWinUfo
7/5/2015 CAINEVivoUSB/DVDinformticaforenseforensedigital
http://www.cainelive.net/ 4/5
7/5/2015 CAINEVivoUSB/DVDinformticaforenseforensedigital
http://www.cainelive.net/ 5/5
CAINEahoraseasociconWINUFO.GraciasaEmoryMullisyScottWhiteporhaberdesarrolladoestaherramientamuybuenaparalos informticaforenseendirecto,http://www.winufo.org EsbordoenWindowslateraldelCaine,estoyfelizdetenerestacolaboracin,yaqueCreoqueWinUfoesuncompletosoftwareparagestionarelanlisisenvivoy lanotificacindetodas lasoperacionesrealizadas.HagaclicaquparadescargarWINUFO
Estesitioestbajo licenciadeCreativeCommonsLicense.Tema"Bravo"deRapidweaver
Recommended