Doe zelf forensisch onderzoek met CAINE

Police Line; do not cross

Artikelgereedschap

  • Tip ons
  • Printen
  • Reacties (0)
2x Aanbevolen

Gepubliceerd: Dinsdag 5 april 2011
Auteur: Koen Vervloesem

Als er in je servers wordt ingebroken, dan is daarna een forensisch onderzoek onontbeerlijk. Een Linux-distributie zoals CAINE bevat heel wat tools die je daarbij kunnen helpen.

CAINE (Computer Aided INvestigative Environment) is een Ubuntu-gebaseerde Linux-distributie op een live-cd die een volledige forensische omgeving aanbiedt, en dat alles in een grafische interface die alle nodige tools integreert en ook allerlei handige scripts bevat die je bij het forensisch onderzoek kunnen helpen.

Images

De belangrijkste stap in een forensische analyse is een kopie maken van de harde schijven van de onderzochte computer. Om zeker te zijn dat er niet per ongeluk bewijsmateriaal wordt vernietigd, koppelt CAINE standaard alle gevonden partities als alleen-lezen aan (tenminste als je in het bootmenu voor de grafische optie hebt gekozen). Daarna moet je alleen de schijf waarnaar je images van de onderzochte schijven wil kopiëren als schrijfbaar aankoppelen. CAINE bevat allerlei tools om images van schijven te maken, waaronder dd, de voor forensics aangepaste dd-forks dc3dd en dcfld, aimage, ewfacquire en zelfs de grafische toepassing Guymager.

Analyse

Maar ook voor het analyseren van de images kan CAINE van pas komen: de distributie bevat onder andere de toolscollectie The Sleuth Kit (waaronder het handige programma fls om verwijderde bestanden te bekijken) en de grafische interface Autopsy, evenals de gegevensherstelprogramma's PhotoRec, Foremost en Scalpel. Een volledige lijst van aanwezige tools is te vinden op de website van de distributie.

Scripts

CAINE is echter meer dan zomaar een collectie tools. Op heel wat vlakken is de distributie aangepast om het werk van een forensisch onderzoeker te vereenvoudigen. Zo zijn er een heleboel scripts in het contextmenu van de bestandsbeheerder Nautilus geïntegreerd om allerlei veel voorkomende acties op bestanden snel te kunnen uitvoeren. Zo kun je er bijvoorbeeld snel EXIF-metadata van een afbeelding mee wegschrijven naar een bestand, een md5-checksum berekenen, geselecteerde bestanden naar een map "Evidence" kopiëren, de eigenaar van een aangesloten iPod identificeren, enzovoort.

De rubriek Tips & Tools biedt praktische informatie die IT-professionals in hun dagelijkse werk kunnen toepassen.

Relevante whitepapers

Alle whitepapers >>

Totaal 0 reactiesLaatste reacties


Nieuwsbrief

Ontvang dagelijks een overzicht van het laatste ICT-Nieuws in uw mailbox

Whitepapers

  • Maximaliseer het voordeel van SaaS

    Cloud-applicaties hebben grote invloed op het gebruik van de IT-architectuur en niet ieder project levert de verwachte voordelen op.

    Downloaden
  • Flexibele IT noodzaak voor bankenOnderzoeksrapport over de beperkte flexibiliteit van veel IT-systemen in de bancaire wereld. Lees meer!
  • Kostenbesparing voor long tail appsOplossing voor kostenkwesties in VDI. Technologie geschikt voor long tail apps.
» Meer whitepapers

Peiling

Loading Poll

Video: Review: HTC One X-smartphone met vijf...

Review: HTC One X-smartphone met vijf cores (video)