Im März hatte ich ausführlich über diverse Linux Distributionen für die IT Forensik berichtet (siehe Artikel). Aufbauend dazu möchte ich euch über Änderungen bei einigen Forensiktools informieren.
Kali Linux 1.0.4
Aus Tradition haben die Jungs rund um Kali Linux (ehemals BackTrack) bereits während des Hackertreffens "Black Hat" und "DEF CON" ihr Baby aktualisiert. Mit der neuen Version 1.0.4 wurden auf Wunsch der Community einige Hackertools neu aufgenommen: Pass the Hash Toolkit, enum4linux, RegRipper, Unicornscan, jSQL, JD-GUI, Ghost Phisher, Uniscan, Arachni und Bully.
Die Funktion der einzelnen Tools möchte ich hier nicht näher erklären. Für ein Update benötigt ihr nicht unbedingt ein neues Image, es reicht ein "apt-get update" und "apt-get dist-upgrade" auf der Konsole. Neben neuen Programmen wurde der ARM Support weiter ausgebaut und um BeagleBone Black, CuBox und Efika MX erweitert. Mit dieser breiten Palette ist Kali Linux bisher allein auf weiter Flur. Download Kali Linux 1.0.4
DEFT 8
Auch am Digital Evidence & Forensic Toolkit wird ständig gearbeitet. So haben unsere italienischen Freunde eine neue Version 8 veröffentlicht, welche die zweite Version von DART (Digital Advanced Response Toolkit) enthält.
Zu den Neuerungen zählt eine App Suchmaschine im Stil von Spotlight, eine neue Audit Report Engine und die Möglichkeit Anwendungen als Administrator zu starten. Die nahezu 250 enthaltenen Tools entnehmt ihr besser der offiziellen Liste.
Die Distribution selbst hat ebenfalls einiges an Änderungen erfahren. So gibt es mit dem neuen 64bit Kernel keine Beschränkung mehr auf 4GB RAM, weitere neue Programme sind The Sleuthkit 4.1, Autopsy 2 – Ready for Autopsy 3, Digital Forensics Framework 1.3, Guymager 0.7.1, Cyclone 0.2, Esximager, Recoll 1.19.5, Bulk extractor Dumpy 0.2 (parsing tool für dumps), Skype extractor und Fastboot (re-flash Android partition tool), usw. Download DEFT 8
Paladin 4.0
Scheint aus unerfindlichen Gründen offline zu sein.
BackBox Linux 3.05
Als Alternative würde sich zum Beispiel BackBox anbieten. Die Distribution basiert auf Ubuntu und XFce. Das Projekt stammt aus Italien und ist seit 2010 am expandieren. Großer Vorteil von BlackBox ist das eigene Repository, welches den Anwender stetig mit Updates versorgt. Ca. 70 Programme sorgen für die richtige Analyse von Wlan, Netzwerk oder VoIP. Daneben gibt es weitere Tools für Reverse Engineering oder Eploitation. Eine komplette Liste der Tools ist hier zu finden. Download BackBox
NetSecL OS 4.0
Diese Sammlung für Penetration Testing kommt aus Bulgarien und basiert, anders als die meisten Forensik-Distros, auf Open Suse 64bit und ist zusätzlich installierbar. Das System ist von Haus aus mit Grsecurity gehärtet und verwaltet seine Pakete im RPM Format. Hier eine Auswahl der ca. 50 Tools auf der DVD: Aircrack-ng, APG(Automated Password Generator) Arping, ArpON (ARP handler inspection), arp-scan, arptables, Arpwatch, Chkrootkit,
Clam AntiVirus,coWPAtty, Chntpw, EtherApe, etherdump, Ethtool, FPing, Firewall Builder, icmpinfo, IPTraf-ng, Iputils, Kismet,
Mausezahn,
Mtr,
NDisc6,
Nmap,
OpenVas,
Ostinato,
P0f,
Pyrit,
Wireshark. Download NetSecL 4.0
Matriux 2.49
Eine weitere Sammlung an Penetrations Tools und forensischen Programmen bietet Matriux. Die indische Distribution basiert auf Debian und siedelt sich bei Pentrations-Testing, sowie Forensische Untersuchungen an. Matriux lässt sich installieren und somit als eigenständiges System nutzen. Die neueste Version 2.49b besitzt zwar noch einen Beta-Status, ist jedoch schon einsatzfähig. Die Liste an verfügbaren Programmen kann sich sehen lassen, über 300 Tools aus den Bereichen Auskundschaften, Scannen, Attackierende Tools, Frameworks, VoIP, digitale Forensik, Debugger und Tracer stehen zur Verfügung. Da sollte für jeden etwas dabei sein. Download Matriux
Zusammenfassung
Wie schon beim ersten Artikel habe ich einen Überblick erstellt, damit ihr noch einmal alle Distributionen im Überblick habt.