Linux中使用LiveCD恢复受危害的系统 （2）

Helix 有一个 Windows® 端的活动接口，允许映像一个 Live Windows 系统。此接口已被翻译成了德语，很快会有葡萄牙语版本。另外，很多事件/响应工具按最初形成的想法进行了设计。很多组织教育机构也开始使用 Helix，其中包括 National White Collar Crime Center (NW3C)、System Administrator Network Security (SANS) Institute 和 National Consortium for Justice Information and Statistics。

Helix 并非为在硬盘上安装而设计，但将来的版本可能具备此功能。“我希望能够有一个类似于 Fedora 所用的那种进行硬件识别的硬件抽象层。在不久之前，我们刚刚添加了 union-fs 模块，这是我们需要克服的一个主要障碍。” Andrew 说。尽管 Helix 中的大部分工具都是 Andrew 自己选择的，但有些工具是由社区推荐的。Andrew 面对的最大问题就是有些工具需要许可证。

下一版本将提供一些更新工具、全新的 Retriever 和 Adepto 程序，Andrew 一直在使用这些程序及 Sleuth Kit 和 PyFLAG 中提供的工具。

图 1. 正在扫描病毒的 Helix、PyFLAG、Adepto 和 ClamAV

Plan-B

Jeremy McDaniel 所开发的 Plan-B 是一种取证 LiveCD，灵感来源于 Peter Anvin 的 SuperRescue CD。它以 Red Hat 9 为基础，运行 Blackbox Window Manager，并使用 zisofs 文件系统将约 1.4GB 的数据压缩到一张 CD 中。其中有一些取证分析工具，如 Autopsy、The Sleuth Kit、BCWipe 等，还有多种日常使用的工具，如 e-mail 客户端软件、浏览器、聊天客户端软件和文本编辑器。根据该项目的 Web 站点：

（下一个版本中）最大的变化是：大部分当前软件（即便不是全部）都会更新，另外还会添加 2.6 内核，回滚至 Fedora。主数据库为 MySQL ，以添加新的应用服务器。创建基于 eServer™ 的 Security/Auditing/Planning Module 的计划现已投入实施。它最终要作为一个独立的应用程序进行发布。Plan-B 将仅作为移动测试解决方案提供服务。这种工具将用于基于团队的审计和具有报告创建能力的穿透测试接口。

图 2. Plan-B 在此分析报告中提供了常见的命令行接口

结束语

设想一下，我们可以通过一张可引导的 Linux CD 直接学到经验丰富的计算机取证专家的技能。这不是梦想。本文中介绍的 LiveCD 使梦想成为现实。祝您的侦探道路顺利！