segunda-feira, 21 de janeiro de 2008

Manutenção no Helix - Parte II

Atualizando a parte Linux do Helix

Conforme mostrei no artigo anterior, o Helix é formado por uma parte Windows, voltada para Live Response/Incident Response. A parte "bootável" do Helix é realmente baseada em Linux, e é a parte principal do Live CD. Neste artigo, vamos ver como atualizar a parte Linux do Helix.

Vale a pena reforçar que as recomendações feitas no artigo anterior continuam válidas.

Da mesma forma que na parte Windows, temos a opção de usar um pen drive ou alterar diretamente o arquivo .iso. Vamos iniciar com foco no uso de um pen drive (ou mesmo HD externo) para as atualizações.

Preparando o pen drive ou HD externo

1) Carregue o Helix, dando boot pelo CD;
2) Com o pen drive/HD externo plugado na USB, execute o utilitário QTParted. Ele pode ser localizado pelo menu do Helix -> System Tools -> QTParted;
3) Crie a partição e formate com o filesystem ext2;
4) Monte o pen drive/HD externo;
5) Crie um diretório chamado utils;

Adicionando uma nova ferramenta

O Helix é um dos melhores Live CDs existentes, mas algumas boas ferramentas acabaram ficando de fora. Uma ferramenta muito boa para determinar os mactimes das chaves do Registry é a RegTimes. Esse tipo de informação é muito importante para determinar a cronologia de algo que ocorreu na máquina.

1) Faça o download dos fontes do Regtimes aqui no SourceForge (regtimes.0.1c.tar.gz)
2) Use o seguinte comando para descompactar os fontes: tar xzvf regtimes.0.1c.tar.gz
3) O comando anterior vai criar um diretório chamado regtimes-0.1c e descompactará os arquivos lá dentro. digite cd regtimes-0.1c para ir para o diretorio.
4) Você deveria procurar pelas instruções de instalação, que na maioria das vezes é apenas um comando make. No caso desse utilitário não há um comando make, então para compilar digite g++ regtimes.cpp nttime.cpp reglib.cpp -o regtimes
5) A operação acima vai criar um arquivo executável chamado regtimes. Confira digitando ./regtimes, o que emitirá instruções de uso do programa.
6) Como o único arquivo que importa para nós é o executável, copie-o para o diretório utils criado lá no pen drive/HD externo.

O Helix monta uma estrutura em memória, com um ramdisk, que permite você "alterar" conteúdos do CD. Ou seja, você consegue criar um arquivo novo, alterar um existente ou até mesmo apagá-lo, sendo que ele originalmente veio do CD. Logicamente, ao desligar a máquina essas alterações serão perdidas. Essa estrutura chama-se UnionFS.

Esse ponto é importante porque se deixarmos o executável apenas no diretório /utils, sempre precisaremos indicar a path para executá-lo. Podemos remover essa limitação criando um symlink para o executável dentro do diretório /KNOPPIX/usr/bin com o comando
cd /KNOPPIX/usr/bin; ln -sf /media/sda1/utils/regtimes regtimes
Assumindo que o mounting point do pen drive foi /media/sda1. Dessa forma, bastará digitar regtimes para usá-lo.

Um ponto importante: Esse symlink vai se apagar ao desligar a máquina. Convém criar um script com os comandos acima, um para cada utilitário ou nova ferramenta adicionada ao Helix no diretório utils. Esse script deve sempre ser executado logo depois de montar o pen drive.

Atualizando uma ferramenta

Os passos de atualização de ferramentas no Helix são muito semelhantes aos descritos anteriormente. Praticamente a mesma coisa. Iremos atualizar o readpst, um utilitário que transforma arquivos .pst do Outlook:

1) Faça o download dos fontes do libpst aqui nesse link (libpst-0.5.12.tar.gz)
2) Use o seguinte comando para descompactar os fontes: tar xzvf libpst-0.5.12.tar.gz
3) O comando anterior vai criar um diretório chamado libpst-0.5.12 e descompactará os arquivos lá dentro. digite cd libpst-0.5.12/src para ir para o diretório com os fontes.
4) Digite make para fazer a compilação.
5) A operação acima vai criar alguns arquivos executáveis. Confira um deles digitando ./readpst, o que emitirá instruções de uso do programa.
6) Como os únicos arquivos que importam para nós são os executáveis, copie-os para o diretório utils criado lá no pen drive/HD externo.
7) Para cada arquivo executável inclua comandos no script que criem symlinks no diretório /KNOPPIX/usr/bin

É possível alterar diretamente o .iso e criar um novo CD, como no lado Windows ?

Sim. Entretando, a operação é bem mais complicada. Basicamente, dentro do diretório /KNOPPIX do CD há um arquivo chamado HELIX que é um filesystem compactado. É dessa forma que consegue-se colocar tanta coisa dentro de um CD. Verifique aqui instruções de como alterar um Live CD, copiando o arquivo HELIX e aplicando nele os procedimentos descritos.

Os passos de compilação das ferramentas também são válidos aqui, com a diferença de que o processo precisa ser seguido, e os executáveis compilados devem ser colocados novamente dentro do arquivo HELIX. Com esse arquivo já alterado, use o Iso Commander para atualizar o .iso, conforme descrito no artigo anterior.

Comentários ? Sugestões ?

Até o próximo post !

Nenhum comentário: