Posted in Forensic on September 25th, 2008 by m313
HELIX es el liveCD forense más conocido y utlizado. Desde Julio del año pasado no habíamos tenido noticias de esta distribución pero hoy han visitando la web veo que ha salido una nueva versión y han realizado un cambio radical en la web oficial del proyecto.
Esta nueva versión sigue siendo GPL y puede descargarse sin coste desde el siguiente enlace:
http://www.e-fense.com/helix/Download.html
Hay que recordar que esta LiveCD funciona en dos modos:
1. LiveCD anteriormente basada en Knoppix (esto ha dejado de ser así en la nueva versión) que ofrece un entorno limpio (no altera la evidencia) y que proporciona multitud de herramientas para el análisis forense.
2. Suite para Windows. Permite su ejecución en un entorno Windows “vivo” y proporciona una suite de herramientas para el análisis y recolección de evicencias.
Como puede verse en la web del proyecto la mayor parte de las herramientas han sido actualizadas y se han incluido unas cuantas nuevas:
Linux:
• [ADD] winlockpwn v1.0 – Bypasses windows authentication via firewire
• [ADD] bioskbsnarf v1.0 – Python code to parse and print bios-real-mode-keyboard-interrupt-buffer
• [ADD] dc3dd v6.9.91 – Patched version of GNU dd with added forensic features
• [ADD] Volatility v1.3 – Open framework for the extraction of artifacts from RAM dumps
• [ADD] tableau-parm v0.1.0.2 – Command line tool to interact with Tableau forensic write blockers
• [ADD] gtkhash v0.2.0.1 – GTK+ utility for computing message digests
• [ADD] bless v0.6.0 – Hex editor with read/write support for block devices
• [ADD] clamtk v3.08-1 – Graphical front end to clamav
• [ADD] meld v1.1.5.1 – Diff and merge utility
• [ADD] ophcrack v2.4.1 – Windows password cracker based on rainbow tables (not included)
• [ADD] samdump2 v1.1.1 – Dump Windows SAM file for cracking
Windows:
• [ADD] Nirsoft WirelessKeyView v1.1.6.0
• [ADD] Nirsoft List of all network resources v1.1.1.0
• [ADD] Nirsoft Mozilla History View v1.0.4.0
• [ADD] Nirsoft Mozilla Cache View v1.0.8.0
• [ADD] Nirsoft IPNetInfo v1.1.1.0
• [ADD] Nirsoft list DLLs that are automatically injected on every process v1.0.0.0
• [ADD] Nirsoft Internet Explorer Passwords Viewer v1.0.8.0
• [ADD] Guidance Winen RAM imager v6.11.2.2
• [ADD] Mantech MDD RAM imager v1.3
• [ADD] Mathieu Suiche Win32dd RAM imager v1.1.20080818
Solo tengo dos notas negativas al respecto: han eliminado el paquete PyFlag, supuestamente por razones de espacio y de rendimiento. Sobre espacio diría que igual es hora de pensarse incluir entornos graficos más agradables (como KDE) y por tanto pasar del formato CD al DVD. Sobre las razones de rendimiento sinceramente creo que se trata de una excusa para no crear una BBDD predefinida en mysql, o crear un script que la cree al iniciar la aplicación, porque PyFlag es un entorno más que recomendable.
Por otro lado no han añadido la herramienta PTK y me parece normal, ya que la versión estable aún no ha salido, pero teniendo en cuenta que saldrá en menos de 5 dias quizá debieran haber esperado. ¿o quizá no la incluyeran por problemas de espacio? ¿rendimiento tal vez?
Me pica la curiosidad de saber porqué han dejado de basarse en Knoppix. Estoy ansioso por probarla pero tengo la impresión de que estará basada en los Linux Live Scripts. Slackware Rules !!
ACTUALIZADO 29/09/2008:
Ya he tenido la oportunidad de probarla y trae Gnome y está basada en…..Ubuntu !!!
Ahora entiendo porqué tardó 5 minutos en arrancar desde el CD. 
Tags: helix