CAINE

計算機輔助調查環境（Computer Aided INvestigative Environment）是一個免費的分佈式和開源的GNU / Linux發行版，這是一個基於最新的LTS（長期支持）版本發布的面向桌面的操作系統。這是最受歡迎的Linux，Ubuntu發行版本，專門用於數字取證操作。

分佈式為64位混合Live DVD
可以從Softoware免費下載CAINE發行版，作為包含僅針對64位（x86_64 / amd64）硬件平台優化的軟件包的混合Live DVD ISO映像。作為混合使用，可以將ISO鏡像寫入空白的DVD光盤或4GB或更高容量的USB閃存驅動器，從而允許您從計算機的BIOS啟動操作系統。

啟動選項

在啟動菜單中，用戶將能夠以正常配置或安全圖形模式啟動實時系統，執行系統內存（RAM）診斷測試，從本地驅動器啟動現有操作系統，以及直接啟動安裝程序，更改語言並添加額外的內核參數。

Xfce負責圖形會話
CAINE的默認和唯一的圖形化桌面環境是Xfce，它為用戶提供了一個非常輕量級的低資源接口，它使用由位於屏幕底部的單個透明面板組成的傳統佈局。該面板包括各種有用的小部件，如主菜單，應用程序啟動器，任務管理器和系統托盤區域。

預裝了各種數字取證操作工具
從頭開始設計用於數字取證操作，CAINE發行版預裝了各種可用於各種數字取證操作的工具。這些包括Mobius，Autopsy，PhotoRec，QuickHash，TestDisk，XDview，FMount，NBTempo，Fred，遠程文件系統貼片機，Log2Timeline，TkDiff和XHFS。

>在這個版本中：

在CAINE 9.0中添加/更改：

RegRipper，VolDiff，SafeCopy，PFF工具，pslistutil，mouseemu，NBTempoX，Osint：Infoga，The Harvester，Tinfoleak regfmount和libregf-utils安裝。

許多腳本和程序....

默認情況下禁用SSH服務器（請參閱手冊頁以啟用它）。

屍檢2.24 fixed - srch_strings改為“GNU strings”在srch_strings中重命名。

許多其他修復和軟件更新。

Windows端：

用於Windows系統上的事件響應/實時分析的Windows端。

工具：Nordsoft套件+啟動器，WinAudit，MWSnap，阿森納圖片貼片機，FTK圖像，十六進制編輯器，JpegView，網絡工具，NTFS日誌查看器，Photorec＆TestDisk，QuickHash，NBTempoW，USB寫保護，VLC，Windows文件分析器

8.0版本中新增功能：

• 內核4.4.0-45
• 基於Ubuntu 16.04 64BIT - UEFI / SECURE BOOT Ready！
• CAINE 8.0可以在Uefi / Uefi +安全啟動/ Legacy Bios / Bios上啟動。
• SystemBack是安裝程序。
• 重要的消息是CAINE 8.0以只讀模式阻止所有塊設備（例如/ dev / sda）。您可以在CAINE桌面上使用名為BlockON / OFF的GUI的工具。
• 這種新的寫入阻止方法可以確保所有磁盤真正被保留，避免意外寫入操作，因為它們被鎖定在只讀模式。
• 如果您需要寫入磁盤，您可以使用BlockOn / Off或使用“Mounter”以可寫模式更改策略。
• 另一個重要消息是VNC服務器和客戶端，用於從遠程控制CAINE，最後CAINE在啟動時總是更快。
• CAINE 8.0可以啟動到RAM（toram）。
• 添加/更改：
• IMG_MAP（image dd / raw和ewf貼片機）
• XAll 1.5
• RecuperaBit
• SQLParse
• PEFrame
• 屋
• PDF分析
• MemDump
• ADB和LibMobileDevice

Gigolo（網絡文件系統客戶端）
• 潑婦（VPN管理員）
• wxHexEditor
• Jeex
• XRCed
• PffLib
• 蒂爾達
• imount，vhdimount和vhdiinfo
• 桑巴
• vblade
• iscsitarget
• hashdb
• 許多腳本和程序
• 新的RBFstab和貼片機：
• ＆QUOT; rbfstab＆QUOT;是在啟動過程中或設備插入時激活的實用程序。它將只讀條目寫入/ etc / fstab，因此設備可以安全地進行法醫成像/檢查。它是用'rbfstab -i'自行安裝的，可以用'rbfstab -r'來禁用。它包含了許多改進，超過了以前的重建fstab化身。 Rebuildfstab是以取證為主的分佈中的只讀安裝的傳統意思。
• ＆QUOT;安裝機＆QUOT;是位於系統托盤中的GUI安裝工具。左鍵單擊系統托盤驅動器圖標將激活一個窗口，用戶可以在其中選擇要掛載或取消掛載的設備。在激活了rbfstab的情況下，除了具有捲標“RBFSTAB”的設備之外的所有設備都被安裝在環路設備上的只讀設備上。 Caja（文件瀏覽器）中的安裝塊設備對於啟用了rbfstab的普通用戶來說是不可能的，使得貼片機為用戶提供一致的界面。
• 貼片機是在系統托盤中運行的磁盤安裝應用程序。
• 實時預覽Caja腳本：
• CAINE包含在Caja網絡瀏覽器中激活的腳本，旨在簡化對分配文件的檢查。目前，腳本可以呈現許多數據庫，互聯網歷史記錄，Windows註冊表，刪除文件，並提取EXIF數據文本文件，以便於檢查。快速查看工具通過確定文件類型並使用適當的工具對其進行渲染來自動執行此過程。
• 實時預覽Caja腳本還可以輕鬆訪問管理功能，例如使連接的設備可寫入，掛載到shell或打開具有管理員權限的Caja窗口。 “另存為證據”腳本將把選擇的文件寫入“證據”文件夾，並根據需要創建關於包含文件元數據和調查員註釋的文件的文本報告。
• 工具集中包含一個唯一的腳本，“識別iPod所有者”。這個腳本將檢測一個連接和安裝的iPod設備，顯示有關設備的元數據（當前用戶名，設備序列號等）。調查人員可以選擇搜索分配的媒體文件和未分配的空間，以查找通過Apple iTunes商店購買的媒體中存在的iTunes用戶信息，即真實姓名和電子郵件地址。

實時預覽腳本正在進行中。對現有腳本的改進也可以有更多的腳本。 CAINE開發者歡迎功能請求，錯誤報告和批評。
• 預覽腳本的誕生是為了使任何具有基本計算機技能的調查員都能簡單地進行證據提取。他們允許調查員獲得基本的證據來支持調查，而無需進行先進的計算機取證培訓或等待計算機取證實驗室。計算機取證實驗室可以使用腳本進行設備分類和CAINE工具集的其餘部分進行完整的取證檢查！
• 根文件系統欺騙補丁：
這個補丁改變了Casper如何搜索啟動媒體的方式。默認情況下，Casper會在啟動系統時查看硬盤驅動器，CD / DVD驅動器和其他一些設備（在系統嘗試查找具有正確根文件系統映像的引導介質的階段 - 因為常見的引導加載程序不在Live CD配置中將有關用於啟動的介質的任何數據傳遞給操作系統）。我們的補丁是針對CAINE的CD / DVD版本實施的，並且可以在Casper中進行CD / DVD專用檢查。這解決了Casper在證據媒體（硬盤驅動器等）上選擇和引導假根文件系統映像的問題。
7.0版本中新增功能：
• 內核3.13.0-66
• 基於Ubuntu 14.04.1 64BIT - UEFI / SECURE BOOT Ready！
• Caine 7.0可以在Uefi / Uefi +安全啟動/ Legacy Bios / Bios上啟動。
• SystemBack是安裝程序。
• 重要的消息是，CAINE 7.0以只讀模式阻止所有塊設備（例如/ dev / sda）。您可以在Caine桌面上使用名為BlockON / OFF的GUI的工具。
• 這種新的寫入阻止方法可以確保所有磁盤真正被保留，避免意外寫入操作，因為它們被鎖定在只讀模式。
• 如果您需要寫入磁盤，您可以使用BlockOn / Off或使用“Mounter”以可寫模式更改策略。
• 另一個重要的消息是VNC服務器和客戶端，用於遠程控制Caine，最後Caine在啟動時總是更快。
• Caine 7.0可以啟動到RAM（toram）。
• 添加/更改：
• 修正了FMOUNT
• XAll
• BTCScan（比特幣掃描器）
• dmraid的
• okteta
• x11vnc服務器
• gvncviewer
• SSH
• 的OpenSSH
• wput
• unBlock（RO / RW塊設備中的塊）
• 安裝-NFS
• 解剖刀2.1
• 新的peframe
• 達姆
• find_times
• parse_VSS_RFC
• 更新了4n6個腳本
• 更新了quickhash
• BleachBit
• 皮革
• vshot
• zulucrypt
• ddrescue桂
• ddrescueView
• dd實用程式
• iloot
• python_regparse
• libmobiledevice
• IFUSE
• ddrescueview
• INDEXparse.py，Shellbags.py，evtxexport.py，extxinfo.py
• NFS客戶端。

什麼是新的 6.0

• 在polkit中修正密碼請求
• 在textmode tty
中修正密碼請求
• Bash bug修復了shellshock
• 始終以ro和loop模式安裝策略
• 禁用fstrim（取消/etc/cron.weekly/fstrim中的行的註釋）
• 由Maxim Suhanov修補的屍檢
• （處理固定的HFS目錄，
）
• 固定的Sun VTOC卷系統處理
• 不正確的時間戳記（等於零）的處理方式為01/01/1970 00:00:00）
• gzrt
• img_map
• photorec gui
• undbx
• ddrescueview
• gddrescue
• disktype
• Peframe
• quickhash
• BEViewer批量提取器
• ddrutility
• ataraw
• frag_find
• log2timeline plaso - supertimeline
• tinfoleak
• 啟動內存翻車機
• 揮發性
• 4N6的腳本
• 啟動修復
• 平頭定制

Broadcom公司的BCM4313無線網卡驅動程序
5.0版本中新增功能：
• 內核3.8.0-35
• 基於Ubuntu 12.04.3 64BIT - UEFI / SECURE BOOT Ready！
• Pendrive上的Caine 5.0可以啟動Uefi / Uefi +安全啟動/ Legacy Bios / Bios。
• DVD上的Caine 5.0可以在Legacy Bios / Bios上啟動。
• SystemBack是新的安裝程序。
• 感謝Nino Salvati先生，Caine有了新的標誌。
• 添加/更改：
• 辮形
• libfusedev
• fileinfo 0.6
• 跟踪路由
• sdparm
• log2timeline 0.64
• rdiff進行
• mdbtool
• undbx
• readdbx
• myrescue
• libshadow vshadowmount
• ZFS熔絲
• fmount
• RDD
• 取消隱藏
• ext3grep
• e2undel
• 恢復
• bulk_extractor
• gzrecover
• dislocker
• undbx
• aoetools
• 啟動修復
• 平頭定制

Broadcom公司的BCM4313無線網卡驅動程序
• 內核3.2.0-32
• MATE 1.4
• iphonebackupanalyzer
• exiftool phil harvey
• tcpflow
• tshark
• john
• wireshark
• firefox
• vinetto
• mdbtool
• gdisk
• LVM2
• tcpdump
• Mobius
• QuickHash
• SQLiteBrowser
• FRED
• docanalyzer
• nerohistanalyzer
• knowmetanalyzer
• PEFrame
• grokEVT
• zenmap（nmap）
• 黑莓工具
• IDevice工具

新的NAUTILUS SCripts

• ataraw
• 布盧姆
• fiwalk
• xnview
• 開始菜單中的NOMODESET
• xmount
• sshfs
• 通過固定的Caine界面報告
• xmount-gui
• nbtempo
• fileinfo
• TSK_Gui

Raid應用程序使用情況
• SMBFS
• BBT.py
2.0版本中的新功能：
數字調查
• 和一個用戶友好的圖形界面
• 和半自動編譯最終報告

什麼新的在1.5版本：

• 更新內核2.6至24.25
• 加了：
• lnk_parse
• lnk.sh
• 莫克
• steghide
• UserAssist
• DOS2UNIX的
• chntpw
• tkdiff
• xdeview
• md5deep，首先更新
• 發射器固定
• 手動更新
• README.TXT在-bash的腳本目錄
• Photorec和TestDisk和法醫XSteg在-菜單
• 添加窗口列表和顯示桌面。

什麼是新的在0.5版本：

• - WinTaylor，適用於Windows環境法醫前端
• - IE兼容HTML頁面在Windows運行的取證工具
• - NTFS-3G更新為01/01/2009（解析NTFS-3g的缺陷）
• - 新的啟動選項：文本模式。
• - Ubuntu的8.04包更新
• - 火狐3.0.6
• - Gtkhash，前端為散列文件
• - 新的報表功能：調查員的姓名和情況下加上
• - 多語言報告：意大利語，英語，德語，法語和葡萄牙語
• - 啟動Firefox瀏覽器的工具列表和簡要利用手動。