DEFT Linux

Материал из Национальной библиотеки им. Н. Э. Баумана
Последнее изменение этой страницы: 16:24, 11 января 2019.
DEFT Linux
Deftlinuxlogo.jpg
Создатели: Стефано Фратьепетро
Разработчики: R&D office of Tesla Consulting srls
Выпущена: January 2005; 16 years ago (2005-01)
Постоянный выпуск: DEFT Linux 8 / February 2014; 7 years ago (2014-02)
Состояние разработки: Развивается;
Написана на: Английский;
Операционная система: GNU/Linux;
Платформа: Linux;
Локализация: Итальянский;
Веб-сайт www.deftlinux.net

Deft linux (Digital Evidence and Forensics Toolkit)- это дистрибутив разработан на платформе Linux Ubuntu и оснащен удобным графическим интерфейсом. Кроме того, в продукт добавлен набор профильных утилит, начиная антивирусами, системами поиска информации в кэше браузера, сетевыми сканерами и другими различными утилитами, заканчивая инструментами, которые необходимы при проведении поиска скрытой информации на диске. Предназначен для компьютерной криминалистики и информационной безопасности.

История

Название DEFT Linux произошло от акронима "Digital Evidence & Forensic Toolkit" (Инструментарий для цифровых доказательств и судебной экспертизы).Этот дистрибутив был создан специалистами, занимающихся расследованием компьютерных преступлений. Создал Deft Linux , итальянский эксперт по IT-безопасности, известный также как "хакер-буно" , Стефано Фратьепетро в 2005 году. Первая версия DEFT v1 вышла в свет в 2006 году и базировалась на Kubuntu 6.10. Deft на 100% сделан в Италии, и этот проект управляется и поддерживается R&D office of Tesla Consulting srls.[Источник 1]

Структура

Система DEFT основана на GNU Linux, она может работать в режиме live (через DVDROM или USB) или работать как виртуальное устройство на VMware. В дополнение к этому, сотрудники DEFT разрабатывают приложения для консалтинговой компании Digital and Mobile Forensics, сотрудников правоохранительных органов и следователей.

Характеристики

  1. Lubuntu в основе дистрибутива
  2. Работа в режиме live CD и возможность установки на жесткий диск Ядро Linux версии 3.0.0-12 с поддержкой USB 3.
  3. Средство восстановления удаленных файлов Autopsy 2.24
  4. Комплект компьютерного криминалиста Digital Forensic Framework 1.2.
  5. Комплект программ для поиска улик в удаленных файлах Scalpel 2.
  6. Инструменты исследования содержимого мобильных телефонов .( см. Рисунок 1).[Источник 2]

Рисунок 1 – Различные программы на DEFT Linux

Версии

  1. DEFTv1;
  2. DEFTv2 (2007 г.);
  3. DEFTv3 (2007 г.);
  4. DEFTv4 (2008 г.);
  5. DEFT Linux 5 (2009 г.);
  6. DEFT Linux 6 (2013 г.);
  7. DEFT Linux 7.2 (2014 г.);
  8. DEFT Linux 8 (2014 г.);
  9. DEFT Zero (2017 г.) (см. Рисунок 2).

Рисунок 2 – Рабочий стол DEFT ZERO (2017 г.)

DEFT Linux 8

DEFT Linux 8, предназначен для проведения анализа последствий взломов, определения скрытых или потерянных данных в системе, а также для сбора доказательств в расследованиях компьютерных преступлений. Дистрибутив построен на базе Lubuntu и снабжен удобным графическим интерфейсом, использующим компонент LXDE и оптимизированный для упрощения выполнения типовых операций, выполняемых при проведении расследования. Размер загрузочного Live-образа 2.7 ГБ, начиная с текущей версии дистрибутив поставляется только в 64-разрядных сборках. В состав дистрибутива входит достаточно много профильных утилит для работы, от антивирусов, систем поиска информации в кэше браузера, сетевых сканеров до анализаторов содержимого диска и программ для выявления скрытых данных. Например, в комплект входят такие инструменты, как Guymager, Sleuthkit, Autopsy. (см. Рисунок 3) [Источник 3]

Рисунок 3 – Рабочий стол DEFT Linux 8

Особенности DEFT 8

  1. Использование ядра Linux 3.5;
  2. Обновление Sleuthkit 4.1 и Autopsy 2 (отдельно можно поставить Autopsy 3;
  3. Digital Forensics Framework 1.3;
  4. Полная поддержка Libewf и AFFlib;
  5. Поставка Xmount и Mount Ewf;
  6. Новые программы: Guymager 0.7.1, Cyclone 0.2, Esximager, Recoll 1.19.5, Log2timeline 0.65, Bulk extractor 1.3.1, Dumpy 0.2, Xplico 1.0.1и CapAnalysis;
  7. Добавление Skype extractor, программы для извлечения информации (контакты, SMS, история чата) из файлов данных Skype;.
  8. Для анализа содержимого устройств на базе iOS добавлены пакеты iPBA 2 и Lib iMobile 1.1.5;
  9. Задействован браузер Google Chrome с интеграцией поддержки TOR.[Источник 4]

DEFT Zero

Linux-дистрибутив DEFT 2017.1 («DEFT Zero») разрабатывался почти три года и в 2017 году состоялся релиз этого дистрибутива. Он предназначен для проведения анализа последствий взломов, определения скрытых или потерянных данных в системе, а также для сбора доказательств в расследованиях компьютерных преступлений. Дистрибутив построен на базе Lubuntu 14.04.02 и снабжен удобным графическим интерфейсом, использующим компоненты десктоп-окружения LXDE и оптимизированным для упрощения выполнения типовых операций, выполняемых при проведении расследования (См. Рисунок 4).

Рисунок 4 – Рабочий стол DEFT Zero

Особенности DEFT Zero

  1. Существенное сокращение загрузочного образа, который был сокращён с 3.1 Гб до 508 Мб.
  2. Всё внимание теперь уделено решению задачи копирования и извлечения данных с цифровых носителей.
  3. Добавлена поддержка памяти NVMExpress (используется в новых Mac Book) и eMMC, обеспечена поддержка UEFI.
  4. Live-окружение теперь может быть загружено целиком в память и не влиять на работу подсистем ввода/вывода.
  5. На системах с небольшим размером ОЗУ (менее 512 Мб) дистрибутив поддерживает работу в текстовом режиме. [Источник 5]

Применение

DEFT в настоящее время работает в нескольких организациях и используется различными специалистами, такими как:

  1. Военные организации;
  2. Государственные служащие;
  3. Правоохранительные органы;
  4. Ученые;
  5. Судебные эксперты;( см. Рисунок 5).
  6. Судебно-технические эксперты;
  7. IT-специалисты;
  8. Университеты;
  9. Частные пользователи, которые интересуются экспертной деятельностью.

Рисунок 5 – Одна из утилит для экспертов

Основное назначение

Основное предназначение- это проведение мероприятий по анализу последствий взлома компьютерных систем, определения потерянных и скомпрометированных данных, а также сбор цифровых доказательств совершений кибер-преступлений. [Источник 6]

Источники

  1. DEFT Linux // Wikipedia.[2018-2018] Дата обновления: 11.06.2018. URL: https://it.m.wikipedia.org/wiki/DEFT_Linux (дата обращения: 27.11.2018).
  2. ЛУЧШИЕ ДИСТРИБУТИВЫ LINUX ДЛЯ ВЗЛОМА // LOSST. [2016-2018] Дата обновления: 21.10.2016. URL:https://losst.ru/luchshie-distributivy-linux-dlya-vzloma (дата обращения: 27.11.2018).
  3. Digital forensics: профессиональный инструментарий DEFT 8 // Информационная безопасность. [2016-2018] Дата обновления: 11.06.2016. URL: https://ipiskunov.blogspot.com/2016/06/digital-forensics-deft-8.html (дата обращения: 05.11.2018).
  4. DEFT 8, дистрибутив с инструментарием для расследования компьютерных преступлений // OpenNet. [2013-2018] Дата обновления: 20.07.2013. URL: http://www.opennet.ru/opennews/art.shtml?num=37469 (дата обращения: 20.11.2018).
  5. DEFT Zero, дистрибутив для расследования компьютерных преступлений // OpenNet. [2017-2018] Дата обновления:14.02.2017 . URL:http://www.opennet.ru/opennews/art.shtml?num=46041 (дата обращения: 10.01.2019).
  6. Лучшие дистрибутивы для проведения тестирования на проникновение // Habr.com. [2016-2018]. Дата обновления: 03.02.2016. URL: https://habr.com/post/276477/ (дата обращения: 29.11.2018).