Digital forensics: профессиональный инструмент DEFT Linux

DEFT Linux — давно зарекомендовавший себя и довольно известный в узком кругу инструмент по расследованию компьютерных инцидентов. Начинка дистрибутива предназначена для проведения анализа последствий взломов, определения скрытых или потерянных данных в системе, а также для сбора доказательств в расследованиях компьютерных преступлений. Помимо Linux-платформы, разработана версия и для Windows-систем с пакетом дополнений DART 2 (Digital Advanced Response Toolkit), включающим более 200 утилит.

Что такое DEFT Linux?

Название DEFT произошло от акронима «Digital Evidence & Forensic Toolkit». Этот дистрибутив создан группой специалистов, занимающихся расследованием компьютерных преступлений. Первая версия DEFT v1 увидела свет в 2006 году и базировалась на Kubuntu 6.10. Теперь доступен релиз Linux-дистрибутива Deft Zero, предназначенный для проведения анализа последствий взломов, определения скрытых или потерянных данных в системе, а также для сбора доказательств в расследованиях компьютерных преступлений. Дистрибутив построен на базе Ubuntu и снабжены удобным графическим интерфейсом, использующим компоненты десктоп-окружения LXDE и оптимизированным для упрощения выполнения типовых операций при проведении расследования.

Выпуск DEFT Zero примечателен существенным сокращением загрузочного образа, который был сокращён с 3.1 Гб до 508 Мб. В сокращённом варианте всё внимание уделено решению задачи копирования и извлечения данных с цифровых носителей. Добавлена поддержка памяти NVMExpress (используется в новых Mac Book) и eMMC, обеспечена поддержка UEFI. Благодаря сокращению размера iso-образа, live-окружение теперь может быть загружено целиком в память и не влиять на работу подсистем ввода/вывода. На системах с небольшим размером ОЗУ (менее 512 Мб) дистрибутив поддерживает работу в текстовом режиме.

Начиная с DEFT 8, дистрибутив поставляется только в 64-разрядных сборках. В состав дистрибутива входит достаточно полная подборка профильных утилит: от антивирусов, систем поиска информации в кэше браузра, сетевых сканеров и утилит для выявления руткитов, до анализаторов содержимого диска и программ для выявления скрытых данных.

Основное предназначение — проведение мероприятий по форензике — анализу последствий взлома компьютерных систем, определению потерянных и скомпрометированных данных, а также по сбору так называемых цифровых доказательств совершения киберпреступлений.

Особенности сборки DEFT Linux

1.Hashing: — Dhash2, ver 2.0; — Ssdeep, ver 2.7; — Md5sum, ver 8.21; — Md5deep, ver 8.21; — Sha1sum, ver 8.21; — Sha1deep, ver 8.21; — Sha256sum, ver 8.21; – Sha256deep, ver 8.21; — Sha512deep, ver 8.21.

2.Imaging: — cyclone, ver 0.0.5; — dc3dd, ver 7.1.614; — dcfldd, ver 1.3.4-1; — ddrescue, ver 1.19; — dd_rescue, ver 1.46; — dislocker, ver 0.3; — ewfmount, ver 20130416; — ftk-imager, ver 3.1.1; — guymager, ver 0.8.8; — vmdkmnt, ver 1.17; — xmount, ver 0.7.5.

Подробности смотрите на официальном сайте разработчиков.