针对取证的GNU/Linux发行版: PALADIN

感谢[Shawn the R0ck]投递

GNU/Linux经过了超过20年的发展应用在很多信息技术领域，针对安全领域也有像Backtrack( 新版本Kali)和中国本土打造的渗透测试平台MagicBox，越来越多的黑客正在不断的把GNU/Linux带入更多的领域( 这正是黑客伦理所强调的，不是吗？），针对取证( forensic)也有一个GNU/Linux的发行版：PALADIN。PALADIN是由一家名叫SUMURI的公司开发，目前有2个版本，一个是免费版本( free version)，一个是专业版本( pro, 收费的），免费版本里带了很多针对取证的自由软件:

免费版的PALADIN也带了一个叫做PALADIN toolbox的工具可以跨GNU/Linux/MacOSX/Windows的主流文件系统进行操作（制作img，磁盘扫描，etc)，这个工具是闭源的，但引用了很多自由软件的库，不知道是否有违反自由开源软件许可证的嫌疑：

PALADIN toolbox是存放在/usr/bin/toolbox下，在找到入口地址后，发现这个binary是没有加入反调试的：

NX/Stack canary/RELO都有打开，内核ASLR设置是2（堆和栈的地址分别做随机化处理），但没有开PIE加固，这让ASLR成了摆设，如果逆向的朋友们发现了什么漏洞可以不用bypass这块的mitigation;-)

最后就是openssl使用的是1.0.1c，如果是upstream的版本那就没有解决Lucky-13的问题(有地下的朋友知道Lucky-13 exp现在的价格是多少吗，我很好奇-_-)…)。看来PALADIN作为forensic的GNU/Linux发行版潜在的问题还不少，希望开发社区能在下一个版本中改进这些问题。另外，专业版具有分布式破密码的功能，据说支持超过上千台机器的集群。