您希望不用經過冗長的系統安裝和配置過程就可以評估 Linux? 系統的完整性并恢復丟失的數據嗎？Helix 和 Plan-B 這兩個軟件包將通過 LiveCD 的神奇力量幫助您獲得這種能力。Mayank 的上一篇文章 “使用 Linux LiveCD 評估系統的安全性” 介紹了 LiveCD，還介紹了一些可幫助您評估計算機系統安全性的工具。但若系統已遭遇安全威脅并被用于非法或未經授權的活動，又該怎么辦呢？選擇之一是請求計算機安全專家的幫助。也可以下載專家所使用的工具，學習如何使用這些工具，自己成為完整性保障和數據恢復方面的專家。完全不必擔心工具的安裝 —— 這是 LiveCD！
關于 LiveCD
LiveCD 是存儲在一張可引導的 CD-ROM 上的操作系統（以及其他軟件），通過這張 CD- ROM 即可執行 OS，無需進行漫長的安裝過程。大部分 LiveCD 都是基于 Linux 內核的（但也有一些用于其他操作系統的 LiveCD）。LiveCD 的工作方式是將文件放到 RAM 磁盤中（這樣就減少了應用程序可以使用的 RAM，因此性能可能會降低）。一旦取出 LiveCD 并重新啟動系統之后，原系統就恢復了。有些 LiveCD 還提供了一個安裝工具，使您可將系統安裝到硬盤或 USB 磁盤上；大部分 LiveCD 都可以訪問內部/外部硬盤、磁盤或閃存上的信息。
syslinux 用來啟動基于 Linux 的 LiveCD，以及 Linux 軟盤。對于 PC 來說，可引導 CD 通常都遵守 El Torito 規范，會將磁盤上的某個文件（可能是隱藏文件）當作一個軟盤映像使用。很多 LiveCD 都使用壓縮的文件系統映像，其中通常會使用 cloop 壓縮 loopback 驅動器有效地雙倍利用存儲能力。
市場上有很多模擬器可以用于試用 LiveCD，而不需將其刻錄成 CD 或在計算機上啟動。支持最為廣泛的 i386 模擬器是 VMware。其他模擬器還有 Qemu、PearPC 和 Bochs，它們都可以用于模擬 x86 和/或 PowerPC? 平臺；但由于所采用的模擬方法的不同，因此速度比一些商業化模擬器慢。另外一種商業化模擬器是 VirtualPC。
調查計算機
侵入計算機和計算機網絡并在其掩護下進行嚴重非法活動是一種非常普遍的行為，甚至普遍到許多人都具備實現此類行為的必備技能。然而，檢測并捕捉入侵者的能力卻并非同樣普遍。偉大的（盡管是虛構的）偵探福爾摩斯曾經說過：“在搜集齊所有證據之前就進行推理是一個絕大的錯誤。這會讓判斷有所偏頗。”
從遭遇安全威脅的系統中搜集證據是計算機 “取證” 專家（數字時代的福爾摩斯）的工作。他們使用專門工具來搜集、研究并分析關于系統的信息。對于這種工作來說，最好的工具是開源工具，這并不奇怪。The Coroner's Toolkit (TCT)、Sleuth Kit、Autopsy Forensic Browser 以及 FLAG (Forensics Log Analysis GUI) 都是非常流行的工具，不但安全專家喜歡使用這些工具，很多計算機安全課程的講師也都很喜歡這種工具。
Helix
與很多專門 LiveCD 一樣，Helix 也是應需產生的。Andrew Fahey 是 e-fense Inc. 的一位合作安全專家，他以 Knoppix 作為基礎，并添加了很多日常工作中使用的工具。
“Helix 用戶非常有參與意識。全世界都有 Helix 的用戶，他們不斷提供反饋信息。由于人們是在不同的環境中使用 Helix，因此要確保所有組件在任何情況下都可精確完成工作是一項持續不斷、耗時很多的任務。所以我依靠用戶的反饋改進 Helix，并修正他們所發現的故障。我還要依靠用戶完成語言翻譯。” Andrew 說。
Helix 有一個 Windows? 端的活動接口，允許映像一個 Live Windows 系統。此接口已被翻譯成了德語，很快會有葡萄牙語版本。另外，很多事件/響應工具按最初形成的想法進行了設計。很多組織教育機構也開始使用 Helix，其中包括 National White Collar Crime Center (NW3C)、System Administrator Network Security (SANS) Institute 和 National Consortium for Justice Information and Statistics。
Helix 并非為在硬盤上安裝而設計，但將來的版本可能具備此功能。“我希望能夠有一個類似于 Fedora 所用的那種進行硬件識別的硬件抽象層。在不久之前，我們剛剛添加了 union-fs 模塊，這是我們需要克服的一個主要障礙。” Andrew 說。盡管 Helix 中的大部分工具都是 Andrew 自己選擇的，但有些工具是由社區推薦的。Andrew 面對的最大問題就是有些工具需要許可證。
下一版本將提供一些更新工具、全新的 Retriever 和 Adepto 程序，Andrew 一直在使用這些程序及 Sleuth Kit 和 PyFLAG 中提供的工具。
圖 1. 正在掃描病毒的 Helix、PyFLAG、Adepto 和 ClamAV