Die von vielen Ermittlungsteams (auch wir verwenden diese) häufig eingesetzte Incident Response & Forensics Live CD Helix ist aktualisiert worden. Version 1.8 ist seit letzter Woche unter http://www.e-fense.com/helix/ kostenlos beziehbar. Helix besteht aus einem Windows-Teil und einem Live Linux-Teil, der auf Knoppix basiert.
Neben der Aktualisierung der Tools, wurde PTFinder von Andreas Schuster aufgenommen. Zusätzlich bleiben endlich JFS-Dateisysteme auch wirklich unangetastet, wenn mit dem Linux-Teil gebootet wurde!
Fraglich ist für mich jetzt nur noch, warum die Solaris-Binaries nicht mehr enthalten sind.
Linux Side:
– Fixed Helix Mount code for journaled file systems. Helix will NO longer change the journal mount count when you mount a journaled file system.
– Updated md5deep suite to 1.12
– Updated Clamav to 0.88.2
– Updated Sleuthkit to 2.06
– Updated Autopsy to 2.08
– Updated Foremost to 1.3
– Updated Scalpel 1.54 to carve data
– Updated EnCase Linen to 5.05f
– Updated Adepto 2.0 – With AFF support now
– Added endeavour2 file manager
– Added ssdeep 1.0 for fuzy hashing
– Added AFFlib 1.6.31 for image acquisition
– Added NTFS-3G for native NTFS write support
– Added libewf library
– Added ptfinder memory analysis code from Andreas Schuster
– Removed Solaris static binaries from CD
– Replaced evince with xpdf
Windows Side:
– Updated the Helix executable code
– Update code for command shell paths
– Update all Cygwin tools to latest
– Updated all unxutil tools
– Updated Static Binaries (linux)
– Updated MessenPass to v1.08
– Updated Mail PassView to v1.36
– Updated Protected Storage PassView to v1.63
– Updated Network Password Recovery to v1.03
– Updated IECookiesView to v1.70
– Updated IEHistoryView to v1.32
– Updated RegScanner to v1.30
– Updated FTK Imager to 1.5.1
– Updated Forensic Server Project to 1.0
– Updated PsTools Version to 2.34 (Psexec, psinfo, pslist, etc)
– Updated Process Explorer to 10.2
– Added PstPassword v1.00
– Added Access PassView 1.12
– Added PC On/Off Time
– Added Winaudit v2.15
– Added Drive Manager v3.23
– Added ReSysInfo v2.1
– Added Icon to start a NC listener
– Added code to Windows GUI for investigative notes
Update 19.10.2006: Warum fehlt eigentlich in der neuen Version pcat???
Ich habe gerade festgestellt, dass das statische Binary pcat (Tool zum Sichern des Speichers eines speziellen Prozesses unter Linux) nicht mehr auf der non-bootable Side der CD ist. ;-(
Wenn ich mehr Infos habe, melde ich mich hier wieder.
Einige Skripte sind wohl auch verschoben worden. Muss ich mir jetzt alles wieder zusammensuchen.