segunda-feira, 1 de dezembro de 2008

Chuva de Live CDs

É, parece mesmo que está aberta a temporada de lançamento de Live CDs. O que é muito bom, diga-se de passagem.

Depois do tão esperado lançamento do Helix 2.0, anunciei recentemente a versão nova do DEFT (DEFT 4) e o lançamento do CAINE. Agora é a vez de mais algumas iniciativas.

O PlainSight é um live CD baseado no Linux (Knoppix, aparentemente) e de acordo com seu criador, permite:
- Uso do RegRipper para análise de Registry
- Uso de alguns utilitários para análise de Browser (history, cookies, etc)
- Forense de Memória com o Volatility
- Carving
- Roda a partir de CD ou pen drive

O Drive Prophet é uma iniciativa do Mark McKinnon, da Red Wolf. Esse não é um live cd, mas um software para captar vários vestígios deixados na máquina e, com isso, montar uma triagem de quem passará pela dead acquisition. A lista de informações que o Drive Prophet emite pode ser vista no website dele.

Por último, mas não menos importante, vem a turma da SANS, com o SIFT (Sans Investigative Forensics Toolkit). Esse também não é um live cd, mas um virtual appliance que serve para análise forense. Na verdade, esse é o appliance usado no curso de Forense da SANS. Entre outras, o SIFT permite usar o novíssimo PTK como interface para o Sleuthkit, além de já trazer o Volatility para análise de dumps de memória.

Em breve estarei ampliando a minha análise inicial (já postada aqui no blog) para incluir todas essas novas opções. Alguém já está as usando ?

Até o próximo post !

Nenhum comentário: