Релизы Helix

Релизы Helix

Сообщение Igor Mikhaylov » 22 сен 2007, 09:37

На сегодняшнюю дату доступен релиз Helix 1.9a от 13 июля 2007г
Cсылки на источники приведены здесь: http://www.e-fense.com/helix/downloads.php
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6838
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 116 раз.
Поблагодарили: 149 раз.

Сообщение Igor Mikhaylov » 21 сен 2008, 18:03

15 сентября 2008 года вышла новая версия HELIX

Helix 2008R1 (2.0) (September 15, 2008)

MD5 hash value of the iso is 93a285bfa8ab93d664d508e5b12446d3

Linux (Bootable) Side:
• [UPD] Helix no longer based on Knoppix
• [UPD] Guidance Software Linen v6.11.2.2
• [UPD] afflib v3.3.3 - Open and extensible file format designed to store disk images and associated metadata
• [UPD] aimage v3.1.0 - Advanced disk imager
• [UPD] autopsy v2.08-2 - GUI frontend to sleuthkit tools
• [UPD] sleuthkit v2.52-1 - Open source digital investigation forensic tools
• [UPD] chkrootkit v0.47-1 - Determine whether system is infected with a rootkit
• [UPD] chntpw v0.99.3-1 - Utility to overwrite Windows SAM passwords
• [UPD] clamav v0.92.1 - GPL antivirus scanner
• [UPD] foremost v1.5.4-1 - Data carving based on headers, footers, and internal data structure
• [UPD] lvm2 v2.02.26 - Userspace toolset to provide logical volume management
• [UPD] md5deep v3.1 - Compute MD5, SHA-1, SHA-256, Tiger, Whirlpool message digests
• [UPD] readpst v0.5.2.1 - Convert pst files to mbox format
• [UPD] sg3-utils v1.24-1 - utility for working with generic scsi devices
• [UPD] ssdeep v2.0 -Fuzzy hashing to compare similar but not idetical files
• [UPD] tcpreplay v3.2.3-1 - Replay network traffic stored in pcap files
• [UPD] tcpxtract v1.0.1-1 - Extract files from captured pcap files
• [UPD] vinetto v0.6.0 - Examine Thumbs .db files
• [UPD] Wireshark v1.0.2-1 - Network protocol analyzer
• [UPD] dd_rescue v1.13.3 - Very good dd variant to recover crashed partitions.
• [ADD] winlockpwn v1.0 - Bypasses windows authentication via firewire
• [ADD] bioskbsnarf v1.0 - Python code to parse and print bios-real-mode-keyboard-interrupt-buffer
• [ADD] dc3dd v6.9.91 - Patched version of GNU dd with added forensic features
• [ADD] Volatility v1.3 - Open framework for the extraction of artifacts from RAM dumps
• [ADD] tableau-parm v0.1.0.2 - Command line tool to interact with Tableau forensic write blockers
• [ADD] gtkhash v0.2.0.1 - GTK+ utility for computing message digests
• [ADD] bless v0.6.0 - Hex editor with read/write support for block devices
• [ADD] clamtk v3.08-1 - Graphical front end to clamav
• [ADD] meld v1.1.5.1 - Diff and merge utility
• [ADD] ophcrack v2.4.1 - Windows password cracker based on rainbow tables (not included)
• [ADD] samdump2 v1.1.1 - Dump Windows SAM file for cracking
• [RMV] PyFlag - removed for space and performace reasons

Windows (Live) Side:
• [UPD] Windows Forensic Toolchest(TM) (WFT) v3.0.03
• [UPD] AccessData® FTK® Imager v2.5.3.14
• [UPD] Nirsoft Access Password Recovery v1.1.2.0
• [UPD] Nirsoft Lists USB Devices v1.2.0.0
• [UPD] Nirsoft Remote Desktop Password Recovery v1.0.1.0
• [UPD] Nirsoft Outlook PST Password Recovery v1.1.0.0
• [UPD] Nirsoft Protected Storage PassView v1.6.3.0
• [UPD] Nirsoft Network Password Recovery v1.1.2.0
• [UPD] Nirsoft MozillaCookiesView v1.1.2.0
• [UPD] Nirsoft Instant Messengers Password Recovery v1.2.0.139
• [UPD] Nirsoft Mail Password Recovery v1.4.3.149
• [UPD] Nirsoft LSA Secrets View v1.0.0.0
• [UPD] Nirsoft IE History View v1.3.7.0
• [UPD] Nirsoft IE Cookies View v1.7.1.102
• [UPD] Nirsoft IE Cache View v1.1.2.0
• [UPD] IRCR to fix paths
• [ADD] Nirsoft WirelessKeyView v1.1.6.0
• [ADD] Nirsoft List of all network resources v1.1.1.0
• [ADD] Nirsoft Mozilla History View v1.0.4.0
• [ADD] Nirsoft Mozilla Cache View v1.0.8.0
• [ADD] Nirsoft IPNetInfo v1.1.1.0
• [ADD] Nirsoft list DLLs that are automatically injected on every process v1.0.0.0
• [ADD] Nirsoft Internet Explorer Passwords Viewer v1.0.8.0
• [ADD] Guidance Winen RAM imager v6.11.2.2
• [ADD] Mantech MDD RAM imager v1.3
• [ADD] Mathieu Suiche Win32dd RAM imager v1.1.20080818

Также, теперь у программы новый сайт http://helix.e-fense.com/.
Форум поддержки http://forums.e-fense.com/ .
Руководство пользователя на английском : http://helix.e-fense.com/Docs/Helix0307.pdf


К сожалению в настоящее время обновленный HELIX можно приобрести только за деньги: 20$ за диск + 10$ на почтовые расходы.

Авторы программы обещают в ближайшее время разместить программу на серверах и предоставить к ней доступ всем желающим. Ждем-с.

А пока несколько скриншотов сего чуда:
Изображение


Изображение
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6838
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 116 раз.
Поблагодарили: 149 раз.

Сообщение Igor Mikhaylov » 25 сен 2008, 19:34

Зеркало для скачивания Helix 2
http://ftp.cc.uoc.gr/mirrors/linux/helix/
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6838
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 116 раз.
Поблагодарили: 149 раз.

Сообщение FUF » 31 янв 2009, 16:57

Helix Pro:

https://www.e-fense.com/Docs/Helix3Pro.pdf

Ожидается в апреле, что будет с бесплатной версией - неизвестно. ИМХО, загибается проект.
FUF
Член клуба
 
Сообщения: 566
Зарегистрирован: 11 дек 2008, 19:25
Откуда: Москва
Благодарил (а): 0 раз.
Поблагодарили: 16 раз.

Сообщение FUF » 24 фев 2009, 00:23

Helix3 2009R1

* Added Truecrypt 6.1a
* Added plugins to Volatility: cryptoscan, suspicious, malfind, moddump
* Fixed SWAP Automounting


Полный список изменений доступен по подписке на форуме, ссылки на скачивание там же. Выделенный пункт настораживает ;)
FUF
Член клуба
 
Сообщения: 566
Зарегистрирован: 11 дек 2008, 19:25
Откуда: Москва
Благодарил (а): 0 раз.
Поблагодарили: 16 раз.

Сообщение Asterisk » 24 фев 2009, 01:10

ИМХО, в том же Хеликсе много лишнего. На мой взгляд, единственное, что нужно от LiveCD - это опознать практически любое оборудование, плюс снять образ, возможно, с подсчетом хеш-суммы. Т.о., даже консоли с самым базовым набором ПО будет достаточно. Главное, чтобы dd и md5sum были.
They must find it difficult...
Those who have taken authority as the truth,
Rather than truth as the authority
Аватара пользователя
Asterisk
Член клуба
 
Сообщения: 271
Зарегистрирован: 02 июн 2008, 11:05
Откуда: Калининград
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Сообщение FUF » 24 фев 2009, 01:31

Т.о., даже консоли с самым базовым набором ПО будет достаточно. Главное, чтобы dd и md5sum были.


ИМХО, dc3dd (позволяет уменьшать размер блока при ошибках чтения и вычислять значения хеш-функций на лету) и md5deep + ftimes ;)

На мой взгляд, единственное, что нужно от LiveCD


Ну в этом вопросе создатели подобных продуктов с вами явно не согласны :) Они делают упор на анализ работающей системы и "preview before acquire":

* A preview may identify other target devices not currently attached to the system under preview.
* A preview may identify where important log files reside if not on the system under preview.
* A preview may identify data pertinent to the case so that the acquisition phase may commence.
FUF
Член клуба
 
Сообщения: 566
Зарегистрирован: 11 дек 2008, 19:25
Откуда: Москва
Благодарил (а): 0 раз.
Поблагодарили: 16 раз.

Сообщение Asterisk » 25 фев 2009, 01:06

Ну им-то, понятно, понатыркать в систему побольше. Просто, видимо, зависит от поставленных задач. Иногда можно загрузиться с диска и прям так исследовать систему, а иногда надо по-быстрому снять образ и потом исследовать именно образ.
They must find it difficult...
Those who have taken authority as the truth,
Rather than truth as the authority
Аватара пользователя
Asterisk
Член клуба
 
Сообщения: 271
Зарегистрирован: 02 июн 2008, 11:05
Откуда: Калининград
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Сообщение FUF » 01 май 2009, 13:31

Сегодня вышел Helix3 Pro.

http://www.e-fense.com/helix3pro.php

Helix3 (не Pro версия!) теперь доступен бесплатно: http://www.e-fense.com/helix3-download.php
FUF
Член клуба
 
Сообщения: 566
Зарегистрирован: 11 дек 2008, 19:25
Откуда: Москва
Благодарил (а): 0 раз.
Поблагодарили: 16 раз.

Сообщение Igor Mikhaylov » 01 май 2009, 14:11

Уже качаю. А заодно Агента ихнего и кота. :)
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6838
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 116 раз.
Поблагодарили: 149 раз.

Сообщение FUF » 01 май 2009, 14:16

Значит не одному мне показалось, что они доступ ко всему открыли вне зависимости от подписки :)

Честно говоря, релиз разочаровал немного - нет поддержки русского языка в отчетах (все имена сервисов в знаках вопроса), убрали Autopsy и некорректно на работающей винде аптайм определяется :)
FUF
Член клуба
 
Сообщения: 566
Зарегистрирован: 11 дек 2008, 19:25
Откуда: Москва
Благодарил (а): 0 раз.
Поблагодарили: 16 раз.

Сообщение Igor Mikhaylov » 01 май 2009, 14:51

FUF писал(а):Значит не одному мне показалось, что они доступ ко всему открыли вне зависимости от подписки :)

В целом, нормальный маркетинговый ход. На платный Helix народ шибко не повелся. Щас они дали доступ доступ к дистрибутивам. Видимо, в скором времени стоит ожидать, что кто-то сделает кейген для генерации кода регистрации H3E и раскинет его по сети. Потом, когда народ подсядет на платный Helix - поставят аппаратную защиту (например, тот же HASP) и будут стрич лавэ.

А может просто тупят. :lol:
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6838
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 116 раз.
Поблагодарили: 149 раз.

Сообщение FUF » 01 май 2009, 14:56

Igor Michailov писал(а):
FUF писал(а):Значит не одному мне показалось, что они доступ ко всему открыли вне зависимости от подписки :)

В целом, нормальный маркетинговый ход. На платный Helix народ шибко не повелся. Щас они дали доступ доступ к дистрибутивам. Видимо, в скором времени стоит ожидать, что кто-то сделает кейген для генерации кода регистрации H3E и раскинет его по сети. Потом, когда народ подсядет на платный Helix - поставят аппаратную защиту (например, тот же HASP) и будут стрич лавэ.

А может просто тупят. :lol:


Кхм, у меня подписка на Helix3 Pro, а я могу скачать мануал по ынтерпрайз версии. Думаю, просто тупят :)
FUF
Член клуба
 
Сообщения: 566
Зарегистрирован: 11 дек 2008, 19:25
Откуда: Москва
Благодарил (а): 0 раз.
Поблагодарили: 16 раз.

Сообщение Igor Mikhaylov » 01 май 2009, 15:18

В мануале про энтерпрайс написано: для регистрации шлите запрос - мы пришлем вам ключ.
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6838
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 116 раз.
Поблагодарили: 149 раз.

Сообщение Igor Mikhaylov » 14 май 2009, 04:43

Максим, у меня несколько дней были проблемы с доступом в Интернет.
Сейчас смотрю появились новые файлы для скачивания :
liveresponse.deb _http://forums.e-fense.com/downloads.php?do=file&id=15
liveresponse.dmg _http://forums.e-fense.com/downloads.php?do=file&id=14
liveresponse.exe _http://forums.e-fense.com/downloads.php?do=file&id=13

Но у меня линки не открываются. Вы успели их скачать?
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6838
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 116 раз.
Поблагодарили: 149 раз.

След.

Вернуться в HELIX

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 0

cron