您期望不用经过冗长的体系装置和装备进程就能够评价 Linux® 体系的完整性并康复丢掉的数据吗?Helix 和 PlanB 这两个软件包将经过 LiveCD 的奇特力气协助您取得这种才能
Mayank 的上一篇文章 运用 Linux LiveCD 评价体系的安全性 介绍了 LiveCD还介绍了一些可协助您评价核算机体系安全性的东西但若体系已遭受安全要挟并被用于不合法或未经授权的活动又该怎么办呢?挑选之一是恳求核算机安全专家的协助也能够下载专家所运用的东西学习怎么运用这些东西自己成为完整性保证和数据康复方面的专家彻底不用忧虑东西的装置 —— 这是 LiveCD!
关于 LiveCD
LiveCD 是存储在一张可引导的 CDROM 上的操作体系(以及其他软件)经过这张 CD ROM 即可履行 OS无需进行绵长的装置进程大部分 LiveCD 都是依据 Linux 内核的(但也有一些用于其他操作体系的 LiveCD)LiveCD 的作业方式是将文件放到 RAM 磁盘中(这样就减少了应用程序能够运用的 RAM因而功用或许会下降)一旦取出 LiveCD 并重新发动体系之后原体系就康复了有些 LiveCD 还供给了一个装置东西使您可将体系装置到硬盘或 USB 磁盘上大部分 LiveCD 都能够拜访内部/外部硬盘磁盘或闪存上的信息
syslinux 用来发动依据 Linux 的 LiveCD以及 Linux 软盘关于 PC 来说可引导 CD 一般都恪守 El Torito 标准会将磁盘上的某个文件(或许是躲藏文件)当作一个软盘映像运用许多 LiveCD 都运用紧缩的文件体系映像其间一般会运用 cloop 紧缩 loopback 驱动器有效地双倍运用存储才能
商场上有许多模仿器能够用于试用 LiveCD而不需将其刻录成 CD 或在核算机上发动支撑最为广泛的 i 模仿器是 VMware其他模仿器还有 QemuPearPC 和 Bochs它们都能够用于模仿 x 和/或 PowerPC® 渠道但因为所选用的模仿办法的不同因而速度比一些商业化模仿器慢别的一种商业化模仿器是 VirtualPC
查询核算机
侵入核算机和核算机网络并在其保护下进行严峻不合法活动是一种十分遍及的行为乃至遍及到许多人都具有完结此类行为的必备技术但是检测并捕捉入侵者的才能却并非相同遍及巨大的(虽然是虚拟的)侦察福尔摩斯从前说过在收集齐一切依据之前就进行推理是一个绝大的过错这会让判别有所偏颇
从遭受安全要挟的体系中收集依据是核算机 取证 专家(数字年代的福尔摩斯)的作业他们运用专门东西来收集研讨并剖析关于体系的信息关于这种作业来说最好的东西是开源东西这并不古怪The Coroners Toolkit (TCT)Sleuth KitAutopsy Forensic Browser 以及 FLAG (Forensics Log Analysis GUI) 都是十分盛行的东西不光安全专家喜爱运用这些东西许多核算机安全课程的讲师也都很喜爱这种东西
Helix
与许多专门 LiveCD 相同Helix 也是应需发生的Andrew Fahey 是 efense Inc的一位协作安全专家他以 Knoppix 作为根底并增加了许多日常作业中运用的东西
Helix 用户十分有参加认识全世界都有 Helix 的用户他们不断供给反应信息因为人们是在不同的环境中运用 Helix因而要保证一切组件在任何情况下都可准确完结作业是一项继续不断耗时许多的使命所以我依托用户的反应改善 Helix并批改他们所发现的毛病我还要依托用户完结言语翻译 Andrew 说
Helix 有一个 Windows® 端的活动接口答应映像一个 Live Windows 体系此接口已被翻译成了德语很快会有葡萄牙语版别别的许多事情/呼应东西按开始构成的主意进行了规划许多安排教育组织也开始运用 Helix其间包含 National White Collar Crime Center (NWC)System Administrator Network Security (SANS) Institute 和 National Consortium for Justice Information and Statistics
Helix 并非为在硬盘上装置而规划但将来的版别或许具有此功用我期望能够有一个类似于 Fedora 所用的那种进行硬件辨认的硬件笼统层在不久之前咱们刚刚增加了 unionfs 模块这是咱们需求战胜的一个首要妨碍 Andrew 说虽然 Helix 中的大部分东西都是 Andrew 自己挑选的但有些东西是由社区引荐的Andrew 面临的最大问题便是有些东西需求许可证
下一版别将供给一些更新东西全新的 Retriever 和 Adepto 程序Andrew 一直在运用这些程序及 Sleuth Kit 和 PyFLAG 中供给的东西
图 正在扫描病毒的 HelixPyFLAGAdepto 和 ClamAV
PlanB
Jeremy McDaniel 所开发的 PlanB 是一种取证 LiveCD创意来源于 Peter Anvin 的 SuperRescue CD它以 Red Hat 为根底运转 Blackbox Window Manager并运用 zisofs 文件体系将约 GB 的数据紧缩到一张 CD 中其间有一些取证剖析东西如 AutopsyThe Sleuth KitBCWipe 等还有多种日常运用的东西如 email 客户端软件浏览器谈天客户端软件和文本编辑器依据该项意图 Web 站点
(下一个版别中)最大的改变是大部分当时软件(即使不是悉数)都会更新别的还会增加 内核回滚至 Fedora主数据库为 MySQL 以增加新的应用服务器创立依据 eServer#; 的 Security/Auditing/Planning Module 的方案现已投入施行它终究要作为一个独立的应用程序进行发布PlanB 将仅作为移动测验解决方案供给服务这种东西将用于依据团队的审计和具有陈述创立才能的穿透测验接口
图 PlanB 在此剖析陈述中供给了常见的命令行接口
结束语
想象一下咱们能够经过一张可引导的 Linux CD 直接学到经验丰富的核算机取证专家的技术这不是愿望本文中介绍的 LiveCD 使愿望成为实际祝您的侦察路途顺畅!