O primeiro teste falhou. Estranhamente, ele não subiu na VM que tenho configurada para a versão anterior, no QEMU. Tive de fechar e abrir uma VM no VMWare Server, e rodou prontamente.
Essa nova versão começa impressionando positivamente, já que o boot é bem rápido e cai direto no modo texto. Isso sinaliza que a ferramenta continua não destinada a novatos, mas isso não é um problema. Até porque perito não pode ser newbie, tem que saber se virar mesmo ... Outro bom ponto no boot é que se pode escolher o idioma e o layout de teclado, e isso ajuda quem está com o ABNT2 ou não manda tão bem no inglês.
O desktop foi mesmo completamente atualizado, está mais limpo e sem aqueles milhões de ícones das versões anteriores, que poluiam muito a tela. O menu está bem condensado e tem algumas das principais ferramentas.
A novidade da separação do Xplico vai permitir que existam versões especializadas. Uma delas vai ser mais aplicada a Disk Forensics, enquanto que a DEFT Vx5 vai ter o Xplico e será mais aplicada em Network Forensics. Como eu já falei recentemente, essa parece ser mesmo a nova tendência.
Pontos Positivos:
* Entra no modo texto e só carrega o GUI se for comandado. Isso faz o boot mais rápido e auxilia os mais acostumados;
* As atualizações continuam constantes. O bug lançado com a versão 4.2 foi corrigido bem rapidamente;
* Continua lançando produtos novos (SciTE e TrID), incluindo agora uma versão separada para Network Forensics;
* Vários utilitários ausentes na última avaliação foram instalados, como o Pasco, Galleta e Vinetto;
* O TSK está com suporte full aos formatos Expert Witness e AFF, e é a versão mais recente até agora disponível;
* A conexão via smb voltou ! O nome é bem sugestivo ... Gigolo.
É bom reparar que a maioria dos pontos positivos continuam sendo citados. Isso é uma boa característica.
Pontos Negativos:
* A versão em USB é cobrada. Não ficou claro para mim se o valor é para alguém que quer comprar um pendrive com o produto ou se é apenas para baixar o produto. Depois do Helix ter passado a software comercial (eles voltaram a disponibilizar uma versão free, acredito que perceberam o erro de estratégia), acho que fiquei um pouco neurótico com esses possíveis movimentos. Não é que não se possa cobrar por eles (o valor do DEFT é até muito acessível), a questão é que você se acostuma à maneira de trabalhar com a ferramenta, faz propaganda, valida, e de repente, ela não está mais lá ...
* Alguns utilitários importantes ainda estão ausentes. O ssdeep é um exemplo;
* Forense de memória e de Registry deveriam estar por ali também.
Abaixo, segue a listagem dos utilitários e ferramentas que estão disponíveis nessa versão ou estarão na DEFT Vx5:
Até o próximo post !
- sleuthkit 3.01, collection of UNIX-based command line tools that allow you to investigate a computer
- autopsy 2.21, graphical interface to the command line digital investigation tools in The Sleuth Kit
- dhash 2, multi hash tool
- aff lib 3.5.2, advanced forensic format
- gpart, tool which tries to guess the primary partition table of a PC-type hard disk
- guymager 0.4.2-1, a fast and most user friendly forensic imager
- dd rescue 1.13, copy data from one file or block device to another
- dcfldd 1.3.4.1, copy data from one file or block device to another with more functions
- linen 6.01, Linux version of the industry- standard DOS-based EnCase acquisition tool
- foremost 1.5.6, console program to recover files based on their headers, footers, and internal data structures
- photorec 6.11, easy carving tool
- mount manager 0.2.6, advanced and user friendly mount manager
- scalpel 1.60, carving tool
- wipe
- hex dump, combined hex and ascii dump of any file
- outguess, a stegano tool
- ophcrack 3.3.0, Windows password recovery
- Xplico 0.6 DEFT edition, advanced network analyzer
- Wireshark 1.2.2, network sniffer
- ettercap 0.7.3, network sniffer
- nessus 4, vulnerability and security scanner, client
- nessusd 4, vulnerability and security scanner, server
- nmap 5, the best network scanner
- kismet 2008.05 R1, sniffer and intrusion detection system that work with any wireless card
- dmraid, discover software RAID devices
- testdisk, tool to recover damaged partitions
- vinetto, tool to examine Thumbs.db files
- trID 2.02 DEFT edition, tool to identify file types from their binary signatures
- readpst 0.6.41, a tools to read ms-Outlook pst files
- snmpwalk
- chkrootkit, Checks for signs of rootkits on the local system
- rkhunter 1.3.4, rootkit, backdoor, sniffer and exploit scanner
- john 1.7.2, john the ripper password cracker
- clam, antivirus 4.15
DEFT extra 2.0:
- System Information
- Drive Manager
- Reg Scanner
- Win Audit
- ReSysInfo
- USB Deview
- Bluethoot View
- User Assist view
- WRR
- My Event View
- MSI
- Curr Proces
- Live Acquisition
- FTK imager
- Winen
- MDD
- Forensics Tool
- WFT
- Zero View
- WFA
- File Alyser
- Nigilant32
- USB history
- Shell command
- PC on/off time
- Password Recovery
- Asterix logger
- PassworFox
- Chrome Pass
- IE PassView
- Wireless Key View
- Mail pass view
- Incredimail Message Extractor
- Networking
- Web Browser
- IE Cookie View
- IE History View
- Mozilla Cookie View
- Mozilla History View
- Mozilla Cache view
- Opera Cache View
- Chrome Cache View
- Index.dat Analyzer 2.0
- Historian
- FoxAnalisis
- Utility tool
- Skype Log View
- Home Keylogger
- HexEdit
- SDHash
- WipeDisk
- USBWriteProtector
- Testdisk
- LTF View
- AVI screen
- Hower Snap
- VNC Viewer
- Sumatra PDF
- Putty
- Pre-Search
- Photorec
- Notepad++
- WinMD5sum
- Abiword
- Undelete Plus
- Hash calc
- IP Net Info
- SysInternal
- Access Enum
- autoruns
- diskView
- Regmon
- WinOBj
- Filemon
- ProceXp
- TCPView
- Rootkit Revealer
DEFT v5 features list:
- incorruptibility of the partitions
- incorruptibility of the swap spaces
- linux Kernel 2.6.31
- LXDE
- apt-get system
- vino
- rdesktop
- samba client
- open SSH client & server
- ntfs3g
- lvm support
- brasero
- record my desktop
- wicd network manager
- speedcrunch
Nenhum comentário:
Postar um comentário