CAINE (Computer Aided INvestigative Environment) is een Ubuntu-gebaseerde Linux-distributie op een live-cd die een volledige forensische omgeving aanbiedt, en dat alles in een grafische interface die alle nodige tools integreert en ook allerlei handige scripts bevat die je bij het forensisch onderzoek kunnen helpen.

Images

De belangrijkste stap in een forensische analyse is een kopie maken van de harde schijven van de onderzochte computer. Om zeker te zijn dat er niet per ongeluk bewijsmateriaal wordt vernietigd, koppelt CAINE standaard alle gevonden partities als alleen-lezen aan (tenminste als je in het bootmenu voor de grafische optie hebt gekozen). Daarna moet je alleen de schijf waarnaar je images van de onderzochte schijven wil kopiëren als schrijfbaar aankoppelen. CAINE bevat allerlei tools om images van schijven te maken, waaronder dd, de voor forensics aangepaste dd-forks dc3dd en dcfld, aimage, ewfacquire en zelfs de grafische toepassing Guymager.

Analyse

Maar ook voor het analyseren van de images kan CAINE van pas komen: de distributie bevat onder andere de toolscollectie The Sleuth Kit (waaronder het handige programma fls om verwijderde bestanden te bekijken) en de grafische interface Autopsy, evenals de gegevensherstelprogramma's PhotoRec, Foremost en Scalpel. Een volledige lijst van aanwezige tools is te vinden op de website van de distributie.

Scripts

CAINE is echter meer dan zomaar een collectie tools. Op heel wat vlakken is de distributie aangepast om het werk van een forensisch onderzoeker te vereenvoudigen. Zo zijn er een heleboel scripts in het contextmenu van de bestandsbeheerder Nautilus geïntegreerd om allerlei veel voorkomende acties op bestanden snel te kunnen uitvoeren. Zo kun je er bijvoorbeeld snel EXIF-metadata van een afbeelding mee wegschrijven naar een bestand, een md5-checksum berekenen, geselecteerde bestanden naar een map "Evidence" kopiëren, de eigenaar van een aangesloten iPod identificeren, enzovoort.