segunda-feira, 12 de janeiro de 2009

PlainSight

Como eu disse antes, tivemos um período bastante inspirador para a turma que gosta de criar Live CDs. Foram por volta de 5 ou 6, todos lançados na mesma época. Na ocasião, eu estava sem condições de analisar as ferramentas, mas enfim chegou a oportunidade, e vamos começar logo.
PlainSight
Está na versão 0.1, o que não é muito animador. Apesar disso, o trabalho ficou bastante interessante. O SO é o Knoppix, a interface gráfica é o KDE, e logo após a carga uma aplicação (o próprio PlainSight) conduz uma análise via uma GUI.
Há dois browsers disponíveis (Konqueror e Iceweasel), bem como menus para Konsole e outros utilitários. A presença de menus como Toys e Games mostra que o PlainSight, como live cd, ainda tem muito espaço para evoluir. Na verdade, o live cd está centrado na aplicação PlainSight.

O programa PlainSight




Ele funciona de forma parecida com o filtro do pyFlag. Você pode manter uma configuração pré-armazenada, ou pode optar por configurar o que vai ser uma varredura no disco local ou em uma imagem.





Na próxima aba, é possível configurar quais as buscas que o PlainSight vai operar. A base da maioria das operações é o registry, e está baseada no utilitário RegRipper, de Harlan Carvey. Algumas opções de tratamento de History Files de Browser também estão disponíveis.






A última aba atua na configuração do carving, alterando o arquivo de configuração do Foremost para realizar o carving apenas do que foi selecionado.





Uma forma de uso que seria interessante é compartilhar um diretório com imagens forenses e executar o iso do PlainSight a partir de uma máquina virtual (qemu, por exemplo) com "conexão de rede" com a máquina host. Mapeia-se o diretório compartilhado pelo PlainSight e a partir daí as imagens forenses ficam disponíveis para serem pesquisadas pelo programa PlainSight e outros que ele utiliza. Outra opção é montar na sessão do PlainSight o HD com a imagem forense e, a partir daí, usar o PlainSight normalmente.

Pontos positivos:
- A interface é boa;
- Boot rápido;
- Forense de memória disponível

Pontos Negativos:
- Versão 0.1;
- Praticamente a única coisa interessante é a aplicação PlainSight;
- Derivado de um trabalho de mestrado, não aparenta que vai ser mantido e atualizado com frequência;
- A versão do RegRipper e seus pluggins está defasada;
Comentários ???

Até o próximo post !!!








2 comentários:

SS disse...

Olá Tony, não conhecia ainda o PlainSight.. Parabéns pela iniciativa de testar / avaliar as alternativas de Live CDs para uso Forense!

Sobre o assunto, o maior problema na minha opinião é a dificuldade dos mantenedores conseguirem continuar lançando novas versões sem patrocínio..

Por exemplo, o autor do Helix recentemente andou postando em listas de discussão da área que se não houver um aumento significativo nas doações feitas, ele vai descontinuar o projeto..

um abraço!

Sandro Süffert
http://blog.suffert.com

Tony Rodrigues disse...

Obrigado, meu camarada.

É, eu recebi com tristeza a notícia do Helix tb. Vamos ver se isso muda, pois ele é a base para 90% de quem trabalha com Forense Computacional e usa ferramentas free.

E manter isso tudo só no amor, como dizia um velho amigo, é cruel ... Vamos ver ...

Abração,

Tony