PlainSight
Está na versão 0.1, o que não é muito animador. Apesar disso, o trabalho ficou bastante interessante. O SO é o Knoppix, a interface gráfica é o KDE, e logo após a carga uma aplicação (o próprio PlainSight) conduz uma análise via uma GUI.
Há dois browsers disponíveis (Konqueror e Iceweasel), bem como menus para Konsole e outros utilitários. A presença de menus como Toys e Games mostra que o PlainSight, como live cd, ainda tem muito espaço para evoluir. Na verdade, o live cd está centrado na aplicação PlainSight.
O programa PlainSight
Ele funciona de forma parecida com o filtro do pyFlag. Você pode manter uma configuração pré-armazenada, ou pode optar por configurar o que vai ser uma varredura no disco local ou em uma imagem.
Na próxima aba, é possível configurar quais as buscas que o PlainSight vai operar. A base da maioria das operações é o registry, e está baseada no utilitário RegRipper, de Harlan Carvey. Algumas opções de tratamento de History Files de Browser também estão disponíveis.
A última aba atua na configuração do carving, alterando o arquivo de configuração do Foremost para realizar o carving apenas do que foi selecionado.
Uma forma de uso que seria interessante é compartilhar um diretório com imagens forenses e executar o iso do PlainSight a partir de uma máquina virtual (qemu, por exemplo) com "conexão de rede" com a máquina host. Mapeia-se o diretório compartilhado pelo PlainSight e a partir daí as imagens forenses ficam disponíveis para serem pesquisadas pelo programa PlainSight e outros que ele utiliza. Outra opção é montar na sessão do PlainSight o HD com a imagem forense e, a partir daí, usar o PlainSight normalmente.
Pontos positivos:
- A interface é boa;
- Boot rápido;
- Forense de memória disponível
Pontos Negativos:
- Versão 0.1;
- Praticamente a única coisa interessante é a aplicação PlainSight;
- Derivado de um trabalho de mestrado, não aparenta que vai ser mantido e atualizado com frequência;
- A versão do RegRipper e seus pluggins está defasada;
Comentários ???
Até o próximo post !!!
2 comentários:
Olá Tony, não conhecia ainda o PlainSight.. Parabéns pela iniciativa de testar / avaliar as alternativas de Live CDs para uso Forense!
Sobre o assunto, o maior problema na minha opinião é a dificuldade dos mantenedores conseguirem continuar lançando novas versões sem patrocínio..
Por exemplo, o autor do Helix recentemente andou postando em listas de discussão da área que se não houver um aumento significativo nas doações feitas, ele vai descontinuar o projeto..
um abraço!
Sandro Süffert
http://blog.suffert.com
Obrigado, meu camarada.
É, eu recebi com tristeza a notícia do Helix tb. Vamos ver se isso muda, pois ele é a base para 90% de quem trabalha com Forense Computacional e usa ferramentas free.
E manter isso tudo só no amor, como dizia um velho amigo, é cruel ... Vamos ver ...
Abração,
Tony
Postar um comentário