Статья подготовлена для студентов курса «Безопасность Linux» в образовательном проекте OTUS.
DEFT Linux — давно зарекомендовавший себя и довольно известный в узком кругу инструмент по расследованию компьютерных инцидентов. Начинка дистрибутива предназначена для проведения анализа последствий взломов, определения скрытых или потерянных данных в системе, а также для сбора доказательств в расследованиях компьютерных преступлений. Помимо Linux-платформы, разработана версия и для Windows-систем с пакетом дополнений DART 2 (Digital Advanced Response Toolkit), включающим более 200 утилит.
Что такое DEFT Linux?
Название DEFT произошло от акронима «Digital Evidence & Forensic Toolkit». Этот дистрибутив создан группой специалистов, занимающихся расследованием компьютерных преступлений. Первая версия DEFT v1 увидела свет в 2006 году и базировалась на Kubuntu 6.10. Теперь доступен релиз Linux-дистрибутива Deft Zero, предназначенный для проведения анализа последствий взломов, определения скрытых или потерянных данных в системе, а также для сбора доказательств в расследованиях компьютерных преступлений. Дистрибутив построен на базе Ubuntu и снабжены удобным графическим интерфейсом, использующим компоненты десктоп-окружения LXDE и оптимизированным для упрощения выполнения типовых операций при проведении расследования.
Выпуск DEFT Zero примечателен существенным сокращением загрузочного образа, который был сокращён с 3.1 Гб до 508 Мб. В сокращённом варианте всё внимание уделено решению задачи копирования и извлечения данных с цифровых носителей. Добавлена поддержка памяти NVMExpress (используется в новых Mac Book) и eMMC, обеспечена поддержка UEFI. Благодаря сокращению размера iso-образа, live-окружение теперь может быть загружено целиком в память и не влиять на работу подсистем ввода/вывода. На системах с небольшим размером ОЗУ (менее 512 Мб) дистрибутив поддерживает работу в текстовом режиме.
Начиная с DEFT 8, дистрибутив поставляется только в 64-разрядных сборках. В состав дистрибутива входит достаточно полная подборка профильных утилит: от антивирусов, систем поиска информации в кэше браузра, сетевых сканеров и утилит для выявления руткитов, до анализаторов содержимого диска и программ для выявления скрытых данных.
Основное предназначение — проведение мероприятий по форензике — анализу последствий взлома компьютерных систем, определению потерянных и скомпрометированных данных, а также по сбору так называемых цифровых доказательств совершения киберпреступлений.
Особенности сборки DEFT Linux
1.Hashing:
— Dhash2, ver 2.0;
— Ssdeep, ver 2.7;
— Md5sum, ver 8.21;
— Md5deep, ver 8.21;
— Sha1sum, ver 8.21;
— Sha1deep, ver 8.21;
— Sha256sum, ver 8.21;
– Sha256deep, ver 8.21;
— Sha512deep, ver 8.21.
2.Imaging:
— cyclone, ver 0.0.5;
— dc3dd, ver 7.1.614;
— dcfldd, ver 1.3.4-1;
— ddrescue, ver 1.19;
— dd_rescue, ver 1.46;
— dislocker, ver 0.3;
— ewfmount, ver 20130416;
— ftk-imager, ver 3.1.1;
— guymager, ver 0.8.8;
— vmdkmnt, ver 1.17;
— xmount, ver 0.7.5.
Подробности смотрите на официальном сайте разработчиков.
7 августа в 20:00 приглашаем на открытый вебинар «Пост-эксплуатация в Linux».
На вебинаре мы рассмотрим самые популярные и проверенные в практике пентеста рабочие инструменты, используемые на фазе разведки и пост-эксплуатации для серверов под управлением Linux. Эти знания пригодятся и на соревнованиях по CTF и для пентеста, и конечно же, для общего понимания практики обеспечения ИБ в собственной корпоративной сети.
ЗАПИСАТЬСЯ
