DEFT Linuxがいい感じ
Pen-Test用の LiveCDの定番といえば BackTrack、そして Forensics用の LiveCDといえば Helix・・・でした。昨年までは。
2008年までは無償で使えた Helixですが、e-fenseの方針が変わって2009年からはフォーラム登録ユーザ(有償)のみがダウンロードできるようになりました。で、いくつか代替ツールを探していたのですが、現時点では DEFT Linuxが最も使えそうという結論に落ち着きました。
Windows用のGUIである DEFT Extraを起動すると、次の 6つのタブが表示されます。
- System Information
- Live Acquisition
- Forensics Tool
- Browse Contents
- Scan for Pictures
- Utility Tool
どちらがマネしたのか知りませんが、Helixの GUIに中身がそっくりです。もっとも利用できるツールは DEFTのほうが多いですね。
以下、他にざっと使ってみたものについてもメモっておきます。
◎ DEFT Linux
- v4.2 (2009-04-09)
- http://www.deftlinux.net
- Windows/Linuxの両方に対応
- Windows用のツール DEFT Extraが充実 (Helixに似たインタフェース)
- Linuxは Ubuntuベースで(私は慣れているので)使いやすい
○ Digital Forensic Live CD (DFLCD)
- v1.0 (2009-04-24)
- http://www.forensiclivecd.com/
- Windows/Linuxの両方に対応
- Windows用のツールがそこそこ充実 (オリジナルのGUI)
- Linuxはなぜか VM環境でうまく起動しない...
○ CAINE Live CD
- v0.5 (2009-02-22)
- http://www.caine-live.net/index.html
- Windows/Linuxの両方に対応
- Windows用のGUI(WinTaylor)には VB6 runtimeが必要
- サポートしているツールはそれほど多くない
△ FCCU GNU/Linux
△ PlainSight
- v0.1
- http://www.plainsight.info/
- Linuxのみ対応
- RegRipper, Volatility中心でサポートしているツールは多くない
ちなみに、Helixがその後どうなったのか興味があったので、有償の登録ユーザになって最新版(Helix3 2009R1)を使ってみましたが、無償で使えた最後の2008R1と比較してあまり変化はなく、これなら無償で使える DEFT Linuxで十分だと思いました。まあ今後の更新に期待といったところです。
(もっとも登録すると Helix3 Proも使えるようになるので、有償の登録ユーザになる価値がないわけじゃありません。)
