En esta oportunidad quiero compartir con ustedes un post en el cual les muestro como se instala la distribución CAINE en una máquina virtual en VMWare Workstation; aunque la instalación se lleva a cabo en una máquina virtual, este procedimiento es aplicable en una máquina física; así que lo invito a que pruebe CAINE, para que lo instale en su estación forense.

¿Qué es CAINE?

CAINE es una distribución GNU/Linux basada en Ubuntu, creada en Italia como un Proyecto de forense digital, el proyecto está actualmente dirigido por Nanni Bassetti; el último release de la distribución se llama “Wormhole”, sin embargo, la versión CAINE 12 denominada “Sidereal”, se encuentra en su versión BETA 2.

CAINE 11 se basa en la distribución Ubuntu 18.04 LTS y utiliza el Kernel 5.0.0-32

¿Para qué sirve CAINE?

La distribución CAINE nos sirve como plataforma y ambiente de trabajo a los profesionales del área de forense digital; esta “distro” contiene un gran conjunto de herramientas, módulos, aplicaciones y scripts, que serán de gran ayuda durante el proceso de análisis e investigación forense.

Con CAINE usted podrá realizar la adquisición (imaging) de imágenes forenses, tenga en cuenta que a partir de la versión CAINE 9 “Quantum”, los dispositivos de bloques son configurados en modo de solo lectura (read only), lo cual es de vital importancia, ya que los dispositivos o medios de almacenamiento que hacen parte de las investigaciones, no pueden ser alterados de ninguna manera, ni por ningún motivo.

Puede utilizar CAINE para preservar, examinar y analizar la evidencia digital.

Preparación de la máquina virtual

En esta oportunidad se utilizará el hypervisor VMware Workstation 16 Pro instalado en Debian 10 buster, tenga en cuenta que este proceso es completamente replicable en Windows.

Creación de máquina virtual

Inicie VMware Workstation 16 pro y realice lo siguiente (imagen 1):

Clic en “Create a New Virtual Machine”
Seleccione la configuración de la máquina virtual, tiene dos opciones: Typical (recommended) o Custom (advanced); en esta oportunidad se elige Typical (recommended)
Clic en “Next”

imagen 1

Selección de sistema operativo a instalar – Guest Operating System Installation

Una máquina virtual requiere un sistema operativo, este sistema puede ser instalado desde un dispositivo físico o desde una imagen ISO; en esta oportunidad la instalación la realizamos teniendo en cuenta la ISO descargada desde https://www.caine-live.net (imagen 2):

Seleccione la opción “Use ISO image:”
Clic en “Browse”

imagen 2

Selección de la ISO (imagen 3):

Ubique la ISO y selecciónela
Clic en “Open”

imagen 3

De clic en Next (imagen 4)

imagen 4

Selección de Sistema operativo – Select a Guest Operating System (imagen 5)

Seleccione la opción “Linux”
Seleccione la versión “Ubuntu 64-bit”
Clic “Next”

imagen 5

Nombre la Máquina Virtual – Name the Virtual Machine (imagen 6)

Asigne el nombre que desee a su máquina virtual:

Asigne el nombre deseado, en esta oportunidad “Caine11”
Clic en “Browse” si desea cambiar la ubicación de los archivos relacionados con la máquina virtual.
Clic en “Next”

imagen 6

Especificar la capacidad del disco – Specify Disk Capacity (imagen 7):

Asigne el tamaño máximo del disco, en este caso se configuró en 60GB

Determine si el disco duro será almacenado como un solo archivo o si se va a separar en múltiples archivos; en este caso se seleccionó la opción “Split virtual disk into multiple files”
Clic en “Next”

imagen 7

Hasta aquí llegan los pasos relacionados con la creación de la máquina virtual. A continuación inicia el proceso relacionado con la instalación de CAINE 11.

Instalación de Caine

Inicie la máquina virtual para que el sistema lea la ISO de CAINE; seleccione la opción “START CAINE LIVE” (imagen 8)

Imagen 8

CAINE Live ha iniciado (imagen 9)

imagen 9

Monitor Preferences parte 1

Seleccione las preferencias de monitor, dando clic en el botón que se muestra en la imagen (imagen 10).

Imagen 10

Monitor Preferences parte 2 (imagen 11)

Seleccione la resolución que más se le ajuste; en este caso se seleccionó “1280×768”
Clic en “Apply”
Clic en “Keep this configuration”
Clic en “Close”

Imagen 11

A continuación, utilice el ícono “Unblock” en el escritorio de CAINE Live (imagen 12)

Imagen 12

UnBlock (as superuser)

Se observa que el dispositivo /dev/sda es reconocido y su estado es “Read-Only”, es decir, solo lectura (imagen 13).

Imagen 13

El disco /dev/sda será utilizado para instalar el sistema operativo CAINE 11, de tal modo que este disco debe ser escribible (imagen 14).

Selecciones el dispositivo
Clic en “OK”

Imagen 14

Asegúrese de que el disco, en este caso /dev/sda, tenga un estado “Writable”, es decir, que se pueda escribir información en él y de clic en “Cancel” (imagen 15).

Nota: Puede volver a abrir la utilidad UnBlock para verificar que el disco en el que va a instalar el CAINE 11 esté en estado “Writable”, si así lo desea

Imagen 15

Ahora sí, se puede proceder a instalar CAINE 11; vaya al escritorio y de doble clic en “Install CAINE 18.04” (imagen 16)

Imagen 16

Selección Idioma Instalación (imagen 17)

Seleccione el lenguaje
Clic en “Continue”

Imagen 17

Selección de Idioma del teclado (imagen 18)

Seleccione el Layout del teclado, en este caso se seleccionó “Spanish (Latin America)”, este layout tiene varias layout
Seleccione “Spanish (Latin America)”
Clic en “Continue”

Imagen 18

Actualizaciones y Software

Aquí se pueden elegir si se descargan actualizaciones del CAINE o se instala software de terceros (imagen 19):

Seleccione las opciones que desee, en este caso se seleccionó la opción “Download updates while installing CAINE”
Clic en “Continue”

Imagen 19

Tipo de instalación

En tipo de instalación usted puede elegir si borra el disco e instala CAINE, si utiliza cifrado para la nueva instalación, si utiliza LVM o “Something Else”; en la opción something else se puede configurar manualmente el particionado, entre otras cosas. En esta oportunidad, el disco era “nuevo” no estaba particionado (imagen 20).

Se seleccionó la opción “Erase disk and install CAINE”
Clic en “Install Now”

Imagen 20

A continuación, se le muestra un resumen de la tabla de particiones (imagen 21) y se le pregunta si desea continuar teniendo en cuenta el resumen; si todo está bien de clic en “Continue”

Imagen 21

En la imagen se muestra un error relacionado con “ubi-timezone”, puede darle clic en “Continue anyway”, sin ningún problema (imagen 22).

Imagen 22

A continuación se debe diligenciar la información relacionada con el usuario: username, contraseña, hostname. Una vez diligenciados y revisados los datos requeridos, de clic en “Continue” (imagen 23)

Imagen 23

En este momento inicia la instalación de CAINE 11, tal cual lo puede ver en las imágenes (imagen 24 e imagen 25)

Imagen 24

Imagen 25

Como pudo observar en la imagen anterior, el proceso de instalación está llegando casi a su fin; sin embargo, una vez esté cerca de finalizar se producirá un error relacionado con el Bootloader (imagen 26 e imagen 27)

Imagen 26

Imagen 27

Este error no será solucionado en este preciso instante, por tal razón se debe seleccionar la opción “Continue without a bootloader” (imagen 28); la solución será llevada a cabo de forma manual, más adelante.

Imagen 28

La instalación continúa (imagen 29) hasta que finaliza (imagen 30)

Imagen 29

A continuación se le presentan dos opciones: “Continue Testing” y “Restart Now”; si usted elige “Continue Testing” e intenta reparar el bootloader, el proceso nunca terminará (CREAME).

Lo recomendable en este momento es dar clic en “Restart Now” (imagen 30)

Imagen 30

¡IMPORTANTE!

Para que su estación forense quede con el sistema operativo CAINE 11 instalado y funcional, usted debe asegurarse de reparar el bootloader; por tal razón, debe volver a iniciar en CAINE Live (imagen 32), booteando desde la ISO (imagen 31):

Imagen 31

Imagen 32

Una vez en CAINE Live, usted deberá poner el disco en el que instaló CAINE (/dev/sda en este caso) en modo escritura, esto debido a que la reparación del bootloader se lleva a cabo en el; puede utilizar la utilidad UnBlock para tal fin puede guiarse en la parte de arriba en la sección UnBlock (as superuser).

A continuación, abra la terminal y añada el repositorio mediante la ejecución del comando que se ve en la imagen 33

Imagen 33

Como puede ver en la imagen, el repositorio está siendo añadido (imagen 34)

Imagen 34

A continuación, actualice el índice de paquetes mediante el comando “sudo apt-get udpate” (imagen 35)

Imagen 35

Finalmente install la utilidad boot repair, mediante el comando “sudo apt-get install -y boot-repair” (imagen 36)

Imagen 36

Una vez finalizada la instalación de boot-repair, proceda con la ejecución de boot repair:

Ejecución de boot-repair (imagen 37)

Abra la terminal
Escriba en la terminal el comando “boot-repair” para iniciar la herramienta.

Imagen 37

Imagen 38

Una vez observe el menú de Boot Repair (imagen 39), seleccione la opción “Recommended repair (repairs most frequent problems)”

Imagen 39

La ventana que se ve a continuación le indica que abra una terminal y pegue los comandos que están subrayados con azul (imagen 40 e imagen 41).

Imagen 40

Imagen 41

Una vez termine el proceso, es posible que le salga algo similar a lo que se ve en la parte inferior de la imagen 40 (donde dice “Configuring grub-pc”), también le puede salir algo parecido a lo que se ve en la imagen 42

Imagen 42

Aunque también, le podría salir algo parecido a la imagen que se ve en la imagen 43.

Imagen 43

En este momento ingrese “yes” para continuar con el procedimiento (imagen 44)

Imagen 44

A continuación, de clic en “Forward” para continuar con el procedimiento (imagen 45)

Imagen 45

A continuación, aparecerá lo que ve a continuación, en ese momento debe copiar lo que está subrayado y pegarlo en una terminal (imagen 46 e imagen 47)

Imagen 46

Imagen 47

Es posible que le aparezca algo similar a la parte inferior de la imagen 46 (donde dice “Configuring grub-pc”); si le aparece, seleccione la ubicación y dele ok; aparezca o no, el siguiente paso es dar clic en “Forward” (imagen 48):

Imagen 48

En este momento se inicia la re-instalación del GRUB (imagen 49)

Imagen 49

Una vez finalizado lo anterior, el sistema preguntará si se desea cargar el reporte a un pastebin (imagen 50) de Ubuntu; puede seleccionar la opción “No”, sin ningún problema.

Imagen 50

A continuación, el boot repair va a crear un resumen de la información relacionada con el boot (imagen 51)

Imagen 51

En la imagen 52, puede observar el resumen creado, ya usted tomara la determinación de guardarlo y utilizarlo para análisis posteriores.

Imagen 52

Ahora sí, se puede reiniciar o apagar la estación forense (imagen 53)

En esta oportunidad se le dio “Shut Down” (apagar). Posteriormente se inició la máquina virtual booteando desde su disco duro (ya no se utiliza la ISO).

VOILÀ, como puede ver a continuación, ya puede utilizar sus credenciales para iniciar sesión en CAINE 11, un sistema operativo muy útil para el análisis forense digital.