CAIN 리눅스

CAINE Linux
CAIN Linux 그래픽 데스크톱 환경

CAIN Linux(Computer Aided INvestigative Environment)는 Giovanni "Nanni"[1] Bassetti가 관리하는 이탈리아 Linux 라이브 디스트리뷰션입니다.이 프로젝트는 디지털 포렌식발생 대응(DFIR)을 육성하기 위한 환경으로서 2008년에 시작되었으며, 몇 가지 관련 도구가 사전 [2]설치되어 있습니다.

목적

CAIN은 그래피컬인터페이스 [1]환경에서 강력한 스크립트와 함께 소프트웨어 툴을 모듈로 통합하는 전문 오픈소스 포렌식 플랫폼입니다.운영 환경은 법의학 전문가에게 디지털 법의학 조사 프로세스(보존, 수집, 검사 및 분석)[3][4]를 수행하는 데 필요한 모든 도구를 제공하기 위해 설계되었습니다.CAIN은 Linux의 라이브 디스트리뷰션이기 때문에 이동식 미디어([5]플래시 드라이브) 또는 광디스크에서 부팅하여 메모리에서 실행할 수 있습니다.물리 시스템이나 가상 시스템에 인스톨 할 수도 있습니다.라이브 모드에서는 지원 운영체제를 부팅하지 않고도 데이터 스토리지 객체 상에서 동작할 수 있습니다.최신 버전 11.0은 UEFI/UEFI+Secure레거시 BIOS에서 부팅할 수 있으므로 오래된 운영 체제(Windows NT 등) 및 새로운 플랫폼(Linux, Windows 10)을 부팅하는 정보 시스템에서 CAIN을 사용할 수 있습니다.

요구 사항들

CAIN은 Linux 커널 5.0.0-32를 [6]사용하는 Ubuntu 18.04 64비트를 기반으로 합니다.라이브 디스크로서 동작하기 위한 CAIN 시스템 요건은 Ubuntu 18.04와 유사합니다.물리 시스템 또는 VMware Workstation 등의 가상 머신 환경에서 실행할 수 있습니다.

지원되는 플랫폼

CAIN Linux 디스트리뷰션에는 그래픽 환경 또는 명령줄 환경에서 법의학 작업을 수행하기 위해 사용할 수 있는 수많은 소프트웨어 애플리케이션, 스크립트 및 라이브러리가 있습니다.CAIN은 Microsoft Windows, Linux 및 일부 Unix 시스템에서 작성된 데이터 객체의 데이터 분석을 수행할 수 있습니다.버전 9.0 이후의 주요 포렌식 기능 중 하나는 기본적으로 모든 블록디바이스가 읽기 전용 모드로 설정되어 있다는 것입니다.쓰기 차단은 Disk가 운영 체제 또는 법의학 [7]도구에 의한 쓰기 작업의 대상이 되지 않도록 하기 위한 중요한 방법입니다.이렇게 하면 첨부된 데이터 개체가 수정되지 않으므로 디지털 포렌식 보존에 부정적인 영향을 미칠 수 있습니다.

도구들

CAIN은 데이터베이스, 메모리, 법의학 및 네트워크 [8]분석을 지원하는 소프트웨어 도구를 제공합니다.NTFS, FAT/ExFAT, Ext2, Ext3, HFS 및 ISO 9660의 파일 시스템 이미지 분석은 명령줄과 그래픽 [9]데스크톱을 통해 수행할 수 있습니다.Linux, Microsoft Windows 및 일부 Unix 플랫폼에 대한 검사가 내장되어 있습니다.CAIN은 디스크 이미지를 raw(dd) 및 익스퍼트 감시/고급 파일 형식으로 Import할 수 있습니다.이러한 정보는 CAIN에 포함된 도구를 사용하거나 EnCase나 Forensic [10]Tool Kit와 같은 다른 플랫폼에서 얻을 수 있습니다.

CAIN Linux 디스트리뷰션에는 다음과 같은 툴이 포함되어 있습니다.

  • Sleuth Kit – 디스크 볼륨 및 파일 시스템 분석 법의학적 검사를 지원하는 오픈 소스 명령줄 도구입니다.
  • 부검 – 파일 포렌식 분석, 해시 필터링, 키워드 검색, 이메일 및 웹 아티팩트를 지원하는 오픈 소스 디지털 포렌식 플랫폼.부검은 Sleuth Kit에 대한 그래픽 인터페이스입니다.
  • RegRipper – Perl로 작성된 오픈 소스 도구는 레지스트리 데이터베이스에서 정보(키, 값, 데이터)를 추출/파싱하여 데이터 분석을 수행합니다.
  • Tinfoleak – Twitter의 상세한 인텔리전스 분석을 수집하기 위한 오픈 소스 툴.
  • Wireshark – 네트워크 트래픽의 대화형 수집 및 데이터 패킷 캡처(*.pcap)의 비실시간 분석을 지원합니다.
  • PhotoRec – 하드 디스크, 디지털 카메라 및 광학 미디어에서 손실된 파일을 복구할 수 있습니다.
  • Fsstat – 이미지 또는 스토리지 개체에 대한 파일 시스템 통계 정보를 표시합니다.

레퍼런스

  1. ^ a b "CAINE Live USB/DVD - computer forensics digital forensics". www.caine-live.net. Retrieved 2018-07-02.
  2. ^ "History of the Project". www.caine-live.net. Retrieved 2020-01-29.
  3. ^ James, Joshua I.; Gladyshev, Pavel (2013-09-01). "A survey of digital forensic investigator decision processes and measurement of decisions based on enhanced preview". Digital Investigation. 10 (2): 148–157. doi:10.1016/j.diin.2013.04.005. ISSN 1742-2876.
  4. ^ Sean-Philip., Oriyano (2011). Hacker techniques, tools, and incident handling. Gregg, Michael. Sudbury, Mass.: Jones & Bartlett Learning. ISBN 978-0763791834. OCLC 702369433.
  5. ^ "CAINE 8.0". TechRadar. Retrieved 2018-07-02.
  6. ^ "CAINE Live USB/DVD". CAINE website. Archived from the original on 2008-10-29. Retrieved 27 August 2021.
  7. ^ Decusatis, Casimer; Carranza, Aparicio; Ngaide, Alassane; Zafar, Sundas; Landaez, Nestor (October 2015). Methodology for an Open Digital Forensics Model Based on CAINE. 2015 IEEE International Conference on Computer and Information Technology; Ubiquitous Computing and Communications; Dependable, Autonomic and Secure Computing; Pervasive Intelligence and Computing. IEEE. doi:10.1109/cit/iucc/dasc/picom.2015.61. ISBN 9781509001545. S2CID 13397314.
  8. ^ "CAINE Provides Sturdy Support for Forensic Specialists". www.linuxinsider.com. Retrieved 2018-07-02.
  9. ^ Kerner, Sean Michael (7 November 2017). "CAINE 9.0 Linux Expands Computer Forensic Investigation Capabilities". eWeek.
  10. ^ "Tactical Objectives and Challenges in Investigative Computer Forensics", Investigative Computer Forensics, John Wiley & Sons, Inc., 2013-04-11, pp. 157–166, doi:10.1002/9781118572115.ch6, ISBN 9781118572115

외부 링크