SUMURI Paladin 法證光盤測試手記

Sprite發了一篇測試文,大家看看吧!


SUMURI公司,Steve開發了一張基於Linux的取證光盤,具有很強的功能。可以進行磁盤鏡像,磁盤克隆,數據擦除,鏡像加載等等很多非常好的功能。在香港會議中,Sprite和Steve交流了很久,決定2011年共同推出一款具有中文界面,適應國內特點的取證光盤。目前這張光盤是免費的,可以從該公司網站下載。大家可以去http://www.sumuri.com /software/paladin-download.html下載來試用。只是英文的而已。


下載鏡像後,可以刻錄光盤,用於啟動PC和Intel架構的蘋果機。Sprite利用我的蘋果本中的Parallel虛擬機,加載這個ISO鏡像文件,給大家演示一下基本的鏡像功能。


光盤啟動後,出現語言選項。這個光盤是基於Ubantu建立的。我們這裡可以選擇英文或中文。

啟動界面,選擇第一個選項,啟動Paladin。

光盤經過幾十秒到1分鐘後,啟動到桌面畫面,首先是軟件使用法律聲明。OK確定同意。

通過光盤中的文件瀏覽器,可以看到嫌疑硬盤中的數據。本例中,可以看到Sprite製作Parallel Windows虛擬機中的目錄和文件。

請大家注意哦,這張光盤啟動嫌疑計算機後,是具有寫保護功能的,因此不會對嫌疑計算機中的數據造成修改。下面,我們調用Paladin Toolbox。

運行桌面左側的Paladin Toolbox,出現軟件畫面。這是軟件的核心內容。從中可以看到軟件的主要功能,鏡像,校驗,查找搜索,網絡加載等等。我們先測試一下鏡像功能。

參考上圖可以看到,源盤有一個選項,目標盤有兩個選項,即可以實現1對2的複製。目標可以選擇物理磁盤或鏡像文件。

鏡像文件支持Encase的e01,蘋果的DMG,Linux DD三種格式。

本測試中,Sprite選擇源盤為730MB的Paladin光盤,目標分別為e01和dd鏡像,保存於虛擬機的分區中。其中選擇的鏡像創建成功後開始校驗哈希。

總計鏡像過程大約2分30秒左右,速度還不錯。

之後開始校驗。校驗結束後,我們看到如下的報告:

這裡Sprite簡單測試一下,其他的功能後續再進行測試吧。

不過,這真是一個不錯的工具啊,雖然免費,但真的很強大。Paladin還有一款USB啟動盤,可以更為方便的啟動設備。但由於有成本,是收取一些費用的。需要的可以來北京找Sprite來複製使用。

今年的峰會2011年4月12-14日,該光盤的作者會來北京,他是將蘋果機取證的高手。前面博文中介紹的蘋果講師就是他啊。高手。轉自計算機取證技術

0 意見: