针对取证的GNU/Linux发行版: PALADIN
| 2013-04-04 15:26
GNU/Linux经过了超过20年的发展应用在很多信息技术领域,针对安全领域也有像Backtrack( 新版本Kali)和中国本土打造的渗透测试平台MagicBox,越来越多的黑客正在不断的把GNU/Linux带入更多的领域。
针对取证( forensic)也有一个GNU/Linux的发行版:PALADIN。
PALADIN是由一家名叫SUMURI的公司开发,目前有2个版本,一个是免费版本( free version),一个是专业版本( pro, 收费的),免费版本里带了很多针对取证的自由软件。
PALADIN toolbox的工具可以跨GNU/Linux/MacOSX/Windows的主流文件系统进行操作(制作img,磁盘扫描,etc),这个工具是闭源的,但引用了很多自由软件的库,不知道是否有违反自由开源软件许可证的嫌疑。PALADIN toolbox是存放在/usr/bin/toolbox下,在找到入口地址后,发现这个binary是没有加入反调试的,在binary的加固上也很奇怪,NX/Stack canary/RELO都有打开,内核ASLR设置是2(堆和栈的地址分别做随机化处理),但没有开PIE加固,这让ASLR成了摆设,如果逆向的朋友们发现了什么漏洞可以不用bypass这块的mitigation;-)
还有就是openssl使用的是1.0.1c,如果是upstream的版本那就没有解决Lucky-13的问题(有朋友知道Lucky-13 exp现在的价格是多少吗,我很好奇-_-)...)。
看来PALADIN作为forensic的GNU/Linux发行版潜在的问题还不少,希望开发社区能在下一个版本中改进这些问题。另外,专业版具有分布式破密码的功能,据说支持超过上千台机器的集群。
来自:http://www.solidot.org/story?sid=34109