Согласно статистике, более 60% компьютеров в Сети заражены вирусами или находятся под контролем хакеров, которые используют их для своих целей. Чтобы разобраться с проблемой, собрать доказательства, которые, возможно, помогут поймать того, кто это сделал, существуют специальные инструменты и дистрибутивы. Одним из таких решений является DEFT Linux (
www.deftlinux.net). Название произошло от акронима «Digital Evidence & Forensic Toolkit». Возник этот дистрибутив усилиями группы специалистов, занимающихся расследованием компьютерных преступлений. Первая версия DEFT v1 вышла в свет в 2006 году и базировалась на Kubuntu 6.10. Сегодня доступна четвертая версия. В ней в качестве основы выбран Xubuntu 8.10 с рабочим столом XFce. Выбор дистрибутива гарантирует совместимость с тем оборудованием, которое поддерживается семейством Ubuntu.
Процесс загрузки DEFT мало отличается от Ubuntu, но есть свои особенности. Так, разделы жестких дисков и прочих носителей автоматически не монтируются. Специфика дистрибутива такова, что все операции исследователь производит вручную, тщательно контролируя каждый шаг. Поэтому вставленная в рабочей системе флешка не подхватывается. Графический интерфейс по умолчанию также не запускается. Чтобы увидеть XFce, набери в консоли «deft-gui».
В рабочей среде первое, что бросается в глаза, - это наличие большого количества значков на рабочем столе, предназначенных для запуска специфических приложений, и отсутствие привычного в Ubuntu ярлыка для установки на жесткий диск. Впрочем, это вполне логично и ожидаемо, ведь в подобных решениях выполнять запись на жесткий диск нужно крайне осторожно. Достаточно изменить время обращения к файлу, – и данные нельзя затем будет использовать в доказательствах.
В первую очередь отметим в дистрибутиве популярные OpenSource-решения, используемые для сбора данных на скомпрометированной системе, - коллекция утилит Sleuth Kit (TSK) и графическая оболочка к ним Autopsy (Autopsy Forensic Browser). Ранее для хранения образов диска исследователи использовали RAW-образ диска, созданный при помощи dd или ее аналога dd_rescue. Размер такого образа совпадал с исходным и, соответственно, требовал много места для хранения. Часто терялись важные метаданные. Поэтому для хранения образов дисков был создан специальный открытый и расширяемый формат AFF (Advanced Forensics Format). Библиотеки для поддержки его основными утилитами также имеются в дистрибутиве.
В комплект входят программы практически по всем направлениям, которые могут понадобиться исследователю. Для работы с жестким диском и проверки его состояния – Gpart, parted и интерфейсы Gparted и QTparted, TestDisk. Для восстановления файлов по их заголовкам и структуре включена консольная утилита Foremost. Определить тип файла можно при помощи trID. Имеются утилиты для поиска скрытой информации внутри файлов-контейнеров - Steg detect и набор OutGuess. Приложения для работы с hex-данными - hex dump и KHex. Разработчики предусмотрели возможность восстановить/подобрать пароль при помощи Ophcrack и John the Ripper. Есть программы и для поиска вирусов и руткитов – ClamAV, chrootkit, rkhunter.
Полностью поддерживается работа по Сети. Для этого в состав DEFT включены Samba, OpenSSH сервер, RDesktop. Кроме них, в меню Network мы найдем незаменимые для каждого админа программы - Nessus, Nmap, FireShark, Ettercap, Kismet и AirSnort.
http://www.xakep.ru/post/47237/default.asp
Тема: Как узнать где стоит Windows? (Прочитано 5134 раз)
