Digital Forensics: How to Forensics image with CAINE Live USB/DVD Linux bootable

Digital Forensics: How to Forensics image  with CAINE Live USB/DVD

CAINE (Computer Aided Investigative Environment) is an Italian GNU/Linux live distribution created as a Digital Forensics project.

CAINE 11 - GNU/Linux Live Distribution For Digital Forensics Project, Windows Side Forensics And Incident Response 

CAINE 11.0 "Wormhole" 64bit - Official CAINE GNU/Linux distro latest release. 

The important news is that CAINE 11.0, 10.0, 9.0, 8.0 and 7.0 block all the block devices (e.g. /dev/sda), in Read-Only mode. You can use a tool with a GUI named UnBlock present on Caine's Desktop.

This new write-blocking method assures all disks are really preserved from accidentally writing operations, because they are locked in Read-Only mode.

By: https://www.caine-live.net

Tools

- CAINE 11 Live USB/DVD

-Kingston data Traveler_3.0  15.5 GB  (Evidence)

-Laptop Workstation 

After CAINE boots, choose the "Boot Live system". If all goes well, the following desktop should appear:

หลังจาก Boot ด้วย CAINE

CAINE  can boot on Uefi/Uefi+secure boot/Legacy Bios/Bios.

CAINE  can boot to RAM

CAINE has a utility called Mounter, which is located in the task bar. It's the tiny icon circled above. Double clicking this icon brings up a dialog box that shows which block devices are currently mounted:

From the CAINE website documentation:

This new write-blocking method assures all disks are really preserved from accidentally writing operations, because they are locked in Read-Only mode.
If you need to write a disk, you can unlock it with BlockOn/Off or using "Mounter" changing the policy in writable mode. 

1. เราจะทำ Forensic image  /dev/sdb1  evidence  สถานะ Read-only

   sdb Read-Only disk

การเขียนข้อมูลลง External HDD ที่เป็นระบบ NTFS ต้องทำการเขียนคำสั่ง - #sudo ntfs-3g -o rw /dev/sda4 /media/sda4

2.จะทำการ สร้าง Folder CF010 และเก็บไฟล์ CF010.e01 ไว้ที่ /dev/sda4  สถานะ Writable  /Media/sda4/CF010

3 Check Timezone and Date time Setting

4.ตั้งชื่อ Case Number ,Evidence number   CF010.e01

5.เปิดโปรแกรม Guymager เลือก  Forensic image  /dev/sdb  Kingston data Traveler_3.0  15.5 GB 

just start GuyMager (which is the imaging software we will use). A link to Guymager is on the main desktop.

The guymager main screen shows four disks. In our case disk WDC_WDS500G2B0A is the internal HDD (/dev/sda) and the Kingston data Traveler_3.0  is the Flash Drive. The third drive (linux loop) is the memory space CAINE uses to run the live USB/DVD.

Guymager supports two formats: Linux dd raw image and Expert Witness Format. Newer version of guymager also support the advanced forensic image format (AFF). Only DD and EWF support splitting the image onto subfile. This is recommended, as handling files larger than 4GB can be difficult on some filesystems (FAT). In this case we use EWF that support built-in metadata. EWF is a well supported format in most forensic packages (EnCase, Autopsy…etc).

this should be the location where the external hard drive is available. This is typically /media/root/<DISKNAME>. In this particular case, image verification is selected (which will make sure no errors have taken place during the capture).Select start 

6.เมื่อเสร็จ จะได้   CF010.e01

7.นำ Forensic image file  CF010.e01 ทำการวิเคราะห์ไฟล์โดยใช้ Autopsy 

A new page will open. Enter the details in ‘Case Name’ and ‘Base Directory’ . Then click on next to proceed to next step. 

Here in next step you have to enter the case number and Examiner details and click on finish to proceed to next step.

A new window will open .It will ask for add data source in Step 1. Select source type to add & browse the file Path (Disk Image and click on NEXT Option to proceed further.

In Step .  Configure ingest Modules I have chosen all the modules as I am looking for complete information on evidence device or disk or system  etc. and click next to proceed further.

After Process completion, it will show Forensic Investigation Report.

สรุป 

   1. การใช้ CAINE 11 จะป้องการเขียนข้อมูลลงหลักฐาน โดยจะใช้ Read-Only mode.   หากจะเขียนข้อมูลลง  Disk ต้องเปลี่ยน  writable mode ก่อน  (Unblock)

    2.  การเขียนข้อมูลลง External HDD ที่เป็นระบบ NTFS ต้องทำการเขียนคำสั่ง - #sudo ntfs-3g -o rw /dev/sda1 /media/sda1

If the user wants to mount and write on an NTFS media should instead use the "ntfs-3g" command (e.g., $ sudo ntfs-3g -o rw /dev/sda1 /media/sda1).

sudo ntfs-3g -o rw /device-path /your-mount-point

     3.ถ้าไม่สามารถ  boot USB ได้ให้ลองปิด  disable  UEFI (   If secureboot failed, try to disable it from UEFI.)

    4. สามารถใช้  guymager  ในการทำ Imager 

   5. ตรวจสอบ วันเวลา Time setting

Cerdit:

 https://www.caine-live.net

https://www.dfir.vn

http://az4n6.blogspot.com

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #computerforensic #ComputerForensics #dfir #forensics

#digitalforensics #investigation