CAINE

计算机辅助调查环境（Computer Aided INvestigative Environment）是一个免费的分布式和开放源码的GNU / Linux发行版，这是一个基于最新的LTS（长期支持）版本发布的面向桌面的操作系统。这是最受欢迎的Linux，Ubuntu发行版，旨在用于数字取证操作。

分布式为64位混合Live DVD
可以从Softoware免费下载CAINE发行版，作为包含仅针对64位（x86_64 / amd64）硬件平台优化的软件包的混合Live DVD ISO映像。作为混合使用，可以将ISO镜像写入空白的DVD光盘或4GB或更高容量的USB闪存驱动器，从而允许您从计算机的BIOS启动操作系统。

启动选项

在启动菜单中，用户将能够以正常配置或安全图形模式启动实时系统，执行系统内存（RAM）诊断测试，从本地驱动器启动现有操作系统，以及直接启动安装程序，更改语言并添加额外的内核参数。

Xfce负责图形会话
CAINE的默认和唯一的图形化桌面环境是Xfce，它为用户提供了一个非常轻量级和低资源的界面，它使用了由位于屏幕底部的单个透明面板组成的传统布局。面板包括各种有用的小部件，例如主菜单，应用程序启动器，任务管理器和系统托盘区域。

预装了各种数字取证操作工具
从头开始设计用于数字取证操作，CAINE发行版预装了各种可用于各种数字取证操作的工具。这些包括Mobius，Autopsy，PhotoRec，QuickHash，TestDisk，XDview，FMount，NBTempo，Fred，远程文件系统贴片机，Log2Timeline，TkDiff和XHFS。

>在这个版本中：

在CAINE 9.0中添加/更改：

RegRipper，VolDiff，SafeCopy，PFF工具，pslistutil，mouseemu，NBTempoX，Osint：Infoga，收割机，Tinfoleak regfmount和libregf-utils安装。

许多脚本和程序....

默认情况下禁用SSH服务器（请参阅手册页以启用它）。

尸检2.24 fixed - srch_strings改为“GNU strings”在srch_strings中重命名。

许多其他修复和软件更新。

Windows端：

用于Windows系统上的事件响应/实时分析的Windows端。

工具：Nordsoft套件+启动器，WinAudit，MWSnap，阿森纳图片贴片机，FTK图像，十六进制编辑器，JpegView，网络工具，NTFS日志查看器，Photorec＆TestDisk，QuickHash，NBTempoW，USB写保护，VLC，Windows文件分析器

8.0版本中新增功能：

• 内核4.4.0-45
• 基于Ubuntu 16.04 64BIT - UEFI / SECURE BOOT Ready！
• CAINE 8.0可以在Uefi / Uefi +安全启动/ Legacy Bios / Bios上启动。
• SystemBack是安装程序。
• 重要的消息是CAINE 8.0以只读模式阻止所有块设备（例如/ dev / sda）。您可以在CAINE桌面上使用名为BlockON / OFF的GUI的工具。
• 这种新的写入阻止方法可以确保所有磁盘真正被保留，避免意外写入操作，因为它们被锁定在只读模式。
• 如果您需要写入磁盘，您可以使用BlockOn / Off或使用“Mounter”以可写模式更改策略。
• 另一个重要消息是VNC服务器和客户端，用于从远程控制CAINE，最后CAINE在启动时总是更快。
• CAINE 8.0可以启动到RAM（toram）。
• 添加/更改：
• IMG_MAP（image dd / raw和ewf贴片机）
• XAll 1.5
• RecuperaBit
• SQLParse
• PEFrame
• 屋
• PDF分析
• MemDump
• ADB和LibMobileDevice

Gigolo（网络文件系统客户端）
• 泼妇（VPN管理员）
• wxHexEditor
• Jeex
• XRCed
• PffLib
• 蒂尔达
• imount，vhdimount和vhdiinfo
• 桑巴
• vblade
• iscsitarget
• hashdb
• 许多脚本和程序
• 新的RBFstab和贴片机：
• ＆QUOT; rbfstab＆QUOT;是在启动过程中或设备插入时激活的实用程序。它将只读条目写入/ etc / fstab，因此设备可以安全地进行法医成像/检查。它是用'rbfstab -i'自行安装的，可以用'rbfstab -r'来禁用。它包含了许多改进，超过了以前的重建fstab化身。 Rebuildfstab是取证取向分布中的只读安装的传统意思。
• ＆QUOT;安装机＆QUOT;是位于系统托盘中的GUI安装工具。左键单击系统托盘驱动器图标将激活一个窗口，用户可以在其中选择要挂载或取消挂载的设备。在激活了rbfstab的情况下，除了具有卷标“RBFSTAB”的设备之外的所有设备都被安装在循环设备上的只读设备上。 Caja（文件浏览器）中的安装块设备对于启用了rbfstab的普通用户来说是不可能的，使得贴片机为用户提供一致的界面。
• 贴片机是在系统托盘中运行的磁盘安装应用程序。
• 实时预览Caja脚本：
• CAINE包含在Caja网络浏览器中激活的脚本，旨在简化对分配文件的检查。目前，脚本可以呈现许多数据库，互联网历史记录，Windows注册表，删除文件，并提取EXIF数据文本文件，以便于检查。快速查看工具通过确定文件类型并使用适当的工具对其进行渲染来自动执行此过程。
• 实时预览Caja脚本还可以轻松访问管理功能，例如使连接的设备可写入，挂载到shell或打开具有管理员权限的Caja窗口。 “另存为证据”脚本将把选择的文件写入“证据”文件夹，并根据需要创建关于包含文件元数据和调查员注释的文件的文本报告。
• 工具集中包含一个唯一的脚本，“识别iPod所有者”。这个脚本将检测一个连接和安装的iPod设备，显示有关设备的元数据（当前用户名，设备序列号等）。调查人员可以选择搜索分配的媒体文件和未分配的空间，以获取通过Apple iTunes商店购买的媒体中存在的iTunes用户信息，即真实姓名和电子邮件地址。

实时预览脚本正在进行中。对现有脚本的改进也可以有更多的脚本。 CAINE开发者欢迎功能请求，错误报告和批评。
• 预览脚本的诞生是为了使任何具有基本计算机技能的调查员都能简单地进行证据提取。他们允许调查员获得基本的证据来支持调查，而无需进行先进的计算机取证培训或等待计算机取证实验室。计算机取证实验室可以使用脚本进行设备分类和CAINE工具集的其余部分进行完整的取证检查！
• 根文件系统欺骗补丁：
这个补丁改变了Casper如何搜索启动媒体的方式。默认情况下，Casper会在启动系统时查看硬盘驱动器，CD / DVD驱动器和其他一些设备（在系统尝试查找具有正确根文件系统映像的启动介质的阶段 - 因为常见的启动引导程序不在Live CD配置中将有关用于启动的介质的任何数据传递给操作系统）。我们的补丁是针对CAINE的CD / DVD版本实施的，并且可以在Casper中进行CD / DVD专用检查。这可以解决Casper在证据媒体（硬盘驱动器等）上选择和引导假根文件系统映像的问题。
7.0版本中新增功能：
• 内核3.13.0-66
• 基于Ubuntu 14.04.1 64BIT - UEFI / SECURE BOOT Ready！
• Caine 7.0可以在Uefi / Uefi +安全启动/ Legacy Bios / Bios上启动。
• SystemBack是安装程序。
• 重要的消息是，CAINE 7.0以只读模式阻止所有块设备（例如/ dev / sda）。您可以使用Caine桌面上名为BlockON / OFF的GUI的工具。
• 这种新的写入阻止方法可以确保所有磁盘真正被保留，避免意外写入操作，因为它们被锁定在只读模式。
• 如果您需要写入磁盘，您可以使用BlockOn / Off或使用“Mounter”以可写模式更改策略。
• 另一个重要的消息是VNC服务器和客户端，用于远程控制Caine，最后Caine在启动时总是更快。
• Caine 7.0可以启动到RAM（toram）。
• 添加/更改：
• 修正了FMOUNT
• XAll
• BTCScan（比特币扫描器）
• dmraid的
• okteta
• x11vnc服务器
• gvncviewer
• SSH
• 的OpenSSH
• wput
• unBlock（RO / RW块设备中的块）
• 安装-NFS
• 解剖刀2.1
• 新的peframe
• 达姆
• find_times
• parse_VSS_RFC
• 更新了4n6个脚本
• 更新了quickhash
• BleachBit
• 皮革
• vshot
• zulucrypt
• ddrescue桂
• ddrescueView
• dd实用程式
• iloot
• python_regparse
• libmobiledevice
• IFUSE
• ddrescueview
• INDEXparse.py，Shellbags.py，evtxexport.py，extxinfo.py
• NFS客户端。

：版本6.0中的新功能：

• 在polkit中修正密码请求
• 在textmode tty
中修正密码请求
• Bash bug修复了shellshock
• 始终以ro和loop模式安装策略
• 禁用fstrim（取消/etc/cron.weekly/fstrim中的行的注释）
• 由Maxim Suhanov修补的尸检
• （处理固定的HFS目录，
）
• 固定的Sun VTOC卷系统处理
• 不正确的时间戳记（等于零）的处理方式为01/01/1970 00:00:00）
• gzrt
• img_map
• photorec gui
• undbx
• ddrescueview
• gddrescue
• disktype
• Peframe
• quickhash
• BEViewer批量提取器
• ddrutility
• ataraw
• frag_find
• log2timeline plaso - supertimeline
• tinfoleak
• 启动内存翻车机
• 挥发性
• 4N6的脚本
• 启动修复
• 平头定制

Broadcom公司的BCM4313无线网卡驱动程序
5.0版本中新增功能：
• 内核3.8.0-35
• 基于Ubuntu 12.04.3 64BIT - UEFI / SECURE BOOT Ready！
• Pendrive上的Caine 5.0可以启动Uefi / Uefi +安全启动/ Legacy Bios / Bios。
• DVD上的Caine 5.0可以在Legacy Bios / Bios上启动。
• SystemBack是新的安装程序。
• 感谢Nino Salvati先生，Caine有了新的标志。
• 添加/更改：
• 辫形
• libfusedev
• fileinfo 0.6
• 跟踪路由
• sdparm
• log2timeline 0.64
• rdiff进行
• mdbtool
• undbx
• readdbx
• myrescue
• libshadow vshadowmount
• ZFS熔丝
• fmount
• RDD
• 取消隐藏
• ext3grep
• e2undel
• 恢复
• bulk_extractor
• gzrecover
• dislocker
• undbx
• aoetools
• 启动修复
• 平头定制

Broadcom公司的BCM4313无线网卡驱动程序
• 内核3.2.0-32
• MATE 1.4
• iphonebackupanalyzer
• exiftool phil harvey
• tcpflow
• tshark
• john
• wireshark
• firefox
• vinetto
• mdbtool
• gdisk
• LVM2
• tcpdump
• Mobius
• QuickHash
• SQLiteBrowser
• FRED
• docanalyzer
• nerohistanalyzer
• knowmetanalyzer
• PEFrame
• grokEVT
• zenmap（nmap）
• 黑莓工具
• IDevice工具

新的NAUTILUS SCripts

• ataraw
• 布卢姆
• fiwalk
• xnview
• 开始菜单中的NOMODESET
• xmount
• sshfs
• 通过固定的Caine界面报告
• xmount-gui
• nbtempo
• fileinfo
• TSK_Gui

Raid应用程序使用情况
• SMBFS
• BBT.py

2.0版本中的新功能：

数字调查

和一个用户友好的图形界面

和半自动编译最终报告

什么新的在1.5版本：

• 更新内核2.6至24.25
• 加了：
• lnk_parse
• lnk.sh
• 莫克
• steghide
• UserAssist
• DOS2UNIX的
• chntpw
• tkdiff
• xdeview
• md5deep，首先更新
• 发射器固定
• 手动更新
• README.TXT在-bash的脚本目录
• Photorec和TestDisk和法医XSteg在-菜单
• 添加窗口列表和显示桌面。

什么是新的在0.5版本：

• - WinTaylor，适用于Windows环境法医前端
• - IE兼容HTML页面在Windows运行的取证工具
• - NTFS-3G更新为01/01/2009（解析NTFS-3g的缺陷）
• - 新的启动选项：文本模式。
• - Ubuntu的8.04包更新
• - 火狐3.0.6
• - Gtkhash，前端为散列文件
• - 新的报表功能：调查员的姓名和情况下加上
• - 多语言报告：意大利语，英语，德语，法语和葡萄牙语
• - 启动Firefox浏览器的工具列表和简要利用手动。