-
7/5/2015 CAINEVivoUSB/DVDinformticaforenseforensedigital
http://www.cainelive.net/ 1/5
CAIN.E.ComputerAidedMedioAmbienteInvestigacin
RSSCAINERSS
NUEVO!CAINE6.0DarkMatterestfuera!WinUFOparaLiveForense06/Oct/2014
CAINE6.064bit"materiaoscura"OficialCaineGNU/Linuxdistroltimaversin.
CAINE (ComputerAided investigativoparaelMedioAmbiente) esun
italiano deGNU/Linuxdedistribucindirecto
creadocomounproyectoDigitalForensicsActualmenteeldirectordelproyectoesNanniBassetti.CAINEofreceunentorno
forense completoque seorganizpara integrarherramientasde
softwareexistentes,mdulosde softwareyproporcionarunamigable
interfazgrfica.Losprincipalesobjetivosdediseoque tiene
comoobjetivogarantizarCAINEson los siguientes:
unentorno interoperablequeapoyael investigadordigitaldurante las
cuatro fasesde la investigacindigitalesuna interfazgrfica
fcildeusarherramientasde fciluso
Te recomendamos leer lapginaen laspolticasCAINE cuidado.
CAINErepresentaplenamenteel espritude laOpenSource
filosofa,porqueelproyectoest completamenteabierto,
todoelmundopodaasumir el
legadodeldesarrolladoranteriorogerentedelproyecto.Ladistribucinesde
cdigoabierto, el ladodeWindows(Wintaylor) esde
cdigoabiertoy,porltimoperonomenos importante, ladistroes
instalable,dandoas laoportunidaddereconstruirlo
enunanuevaversin,por loquedauna largavidaa esteproyecto.
...NanniBassetti
-
7/5/2015 CAINEVivoUSB/DVDinformticaforenseforensedigital
http://www.cainelive.net/ 2/5
CAMBIOSCAINE6.0"DarkMatter"
Kernel3.13.036BasadoenUbuntu14.04.164BITUEFI/arranqueseguroListo!
Caine6.0puedearrancarenUEFI/UEFI+segurodearranque/LegacyBios/Biografas.
SystemBackeselnuevoinstalador.
AADIDO/CAMBIADO:
solicituddecontraseafijaenpolkitfijosolicituddecontraseaenmodotextoettybugBashshellshockfijomontajepolticasiempreenroyelmododebuclefstrimdiscapacitados(habilitadodescomentandolafilaen/etc/cron.weekly/fstrim)autopsiaparcheadoMaximSuhanov:(directoriosHFSmanipulacinfijos,sistemadevolumendeSunVTOCmanipulacinfijo,marcasdetiempoincorrectas(quesonigualesacero)semanejancomo01/01/197000:00:00)GzrtDislockerImg_mapQPhotorec(guiphotorec)UndbxDdrescueviewGddrescuedisktypePeframeQuickHashBEViewergranelExtractorDdrutilityAtarawFrag_findLog2timelineplasosupertimelineTinfoleakInceptiondumpermemoriafirewireVolatilidad4n6scriptsdearranquede
reparacindegrubpersonalizador controladoresde tarjetas
inalmbricasBroadcomBCM4313Corporacin
deWindowsSide:WinUFOporRespuestaaIncidentes/envivoAnlisisensistemasWindows.NUEVORBFstabyMounter
1)"rbfstab"
esunautilidadqueseactivaduranteelarranqueocuandoundispositivoestenchufado.Seescribeslo
lecturaentradasa/etc/fstabparadispositivossemontandeformaseguraduranteforensedeimgenes/examen.Esautoinstalacincon
'rbfstabi'ysepuededesactivarcon
'rbfstabr'.Contienemuchasmejorasrespectoaanterioresencarnacionesrebuildfstab.RebuildfstabesunmediotradicionalparaelmontajeenlasdistribucionesforensesOrientdeslo
lectura.2)"montador"
esunaherramientademontajeGUIquesesientaenlabandejadelsistema.Izquierdaclicenel
iconodelaunidadbandejadesistemaactivaunaventanadondeelusuariopuedeseleccionar
losdispositivosdemontajeounmount.Conrbfstabactivadotodoslosdispositivos,exceptoaquellosconetiquetadevolumen"RBFSTAB",semontandeslo
lecturaeneldispositivodebucle.MontajededispositivosdebloqueenCaja(exploradordearchivos)noesposibleparaunusuarionormalconrbfstabactivahaciendomontadorunainterfazconsistenteparalosusuarios.Mounter
esunaaplicacindemontajedediscoqueseejecutaenlabandejadelsistema.InformacinGeneral:
Uniconodeldiscoverdesignificaqueelsistemaessegurayvaamontardispositivosdeslo
lecturaeneldispositivodebucle.UniconodediscorojosignificaADVERTENCIA,dispositivosmontadosserESCRIBIBLE.Instrucciones:Hagaclic
izquierdoen el iconodeldiscoparamontarundispositivo.Hagaclic enel
iconodediscoparacambiarelsistemademontaje lapoltica.Orienteclic
cerrar
laaplicacinmontador.Relanzamientodelmen.Losdispositivosmontadosnosevernafectadosporloscambiosdepolticademontaje.OperacionesdemontajeSloposterioressevernafectados.
porJohnLehrScriptsLivePreviewCaja
CAINEincluyesecuenciasdecomandosactivadosenelnavegadorwebdeCajadiseadaparahacerexamendelosexpedientesasignadossimples.Enlaactualidad,
losscriptspuedenhacerquemuchasbasesdedatos,historiasdeInternet,
losregistrosdeWindows,archivosborrados,yextraer
losdatosEXIFenarchivosdetextoparasuexamenfcil.LaherramientaVistarpidaautomatizaesteprocesomediante
ladeterminacindeltipodearchivoyquelohacenconlaherramientaadecuada.Losvivosguionesvistapreviade
laCajatambinproporcionanfcilaccesoafuncionesadministrativas,comohacerunagrababledispositivoconectado,dejandocaera
lacscara,oabrirunaCajaventanaconprivilegiosdeadministrador.El"Guardarcomoevidencia"guinescribirelarchivo(s)seleccionadoaunacarpeta"Evidencia"enelescritorioycrearuninformedetextosobreelarchivoquecontienelosmetadatosdelarchivoyuncomentario
investigador,sisedesea.Unaescrituranica,"Identificar
iPodPropietario",se
incluyeenelconjuntodeherramientas.EstescriptdetectaunadjuntoymontadoiPoddedispositivos,pantallametadatossobreeldispositivo(nombredeusuario,nmerodeseriedeldispositivo,etc.).El
investigadortienelaopcindebuscarlosarchivosdemediosasignadosyespacionoasignadoparala
informacindeiTunesdelusuariopresenteenlosmediosdecomunicacincompradosatravsdelatiendaiTunesdeApple,esdecir,nombrerealydireccindecorreoelectrnico.Losscriptsdevistapreviaenvivosonuntrabajoenprogreso.Muchosmsguionessonposiblescomosonmejorasenlosscriptsexistentes.LosdesarrolladoresCAINEbienvenidapeticiones,
informesdeerrores,y
lascrticas.Losscriptsdevistaprevianacierondeundeseodehacer
laextraccindepruebassimpleparacualquier
investigadorconconocimientosbsicosdeinformtica.Permitenqueel
investigadorparaobtenerevidenciabsicaparaapoyar la investigacinsin
lanecesidadde
-
7/5/2015 CAINEVivoUSB/DVDinformticaforenseforensedigital
http://www.cainelive.net/ 3/5
formacinavanzadaeninformticaforenseoesperarenunlaboratoriodeinformticaforense.Informticaforenselaboratoriospuedenutilizar
lassecuenciasdecomandosparalaseleccindeldispositivoyelrestodelconjuntodeherramientasCAINEparaunexamenforensecompleto!JohnLehrsistemadesuplantacindearchivosrazPATCH
ElparchecambialaformaencmoCasperbuscaelmediodearranque.Deformapredeterminada,Casperseverenunidadesdediscoduro,CD/DVDdrivesyotrosdispositivosduranteelarranquedelsistema(durante
laetapaenqueelsistematratadeencontrarelmediodearranquedeimagendelsistemadearchivosrazcorrectaenlconporquegestoresdearranquecomnnohacerpasarningndatosobrelosmediosutilizadosparaelarranquedeunsistemaoperativoenconfiguracionesdeLiveCD).Nuestroparcheest
implementadoparaCDversiones/DVDdeCaineypermiteCD/chequesDVDsloenCasper.EstoresuelveelerrorcuandoCasperseleccionarayarrancar
las
imgenesdelsistemadearchivosrazfalsosenlosmediosdeprueba(unidadesdediscoduro,etc.).SuhanovMaximWinUfo
-
7/5/2015 CAINEVivoUSB/DVDinformticaforenseforensedigital
http://www.cainelive.net/ 4/5
-
7/5/2015 CAINEVivoUSB/DVDinformticaforenseforensedigital
http://www.cainelive.net/ 5/5
CAINEahoraseasociconWINUFO.GraciasaEmoryMullisyScottWhiteporhaberdesarrolladoestaherramientamuybuenaparalos
informticaforenseendirecto,http://www.winufo.org
EsbordoenWindowslateraldelCaine,estoyfelizdetenerestacolaboracin,yaqueCreoqueWinUfoesuncompletosoftwareparagestionarelanlisisenvivoy
lanotificacindetodas
lasoperacionesrealizadas.HagaclicaquparadescargarWINUFO
Estesitioestbajo
licenciadeCreativeCommonsLicense.Tema"Bravo"deRapidweaver
