您希望不用經(jīng)過冗長的系統(tǒng)安裝和配置過程就可以評估 Linux? 系統(tǒng)的完整性并恢復丟失的數(shù)據(jù)嗎？Helix 和 Plan-B 這兩個軟件包將通過 LiveCD 的神奇力量幫助您獲得這種能力。Mayank 的上一篇文章 “使用 Linux LiveCD 評估系統(tǒng)的安全性” 介紹了 LiveCD，還介紹了一些可幫助您評估計算機系統(tǒng)安全性的工具。但若系統(tǒng)已遭遇安全威脅并被用于非法或未經(jīng)授權的活動，又該怎么辦呢？選擇之一是請求計算機安全專家的幫助。也可以下載專家所使用的工具，學習如何使用這些工具，自己成為完整性保障和數(shù)據(jù)恢復方面的專家。完全不必擔心工具的安裝 —— 這是 LiveCD！
關于 LiveCD
LiveCD 是存儲在一張可引導的 CD-ROM 上的操作系統(tǒng)（以及其他軟件），通過這張 CD- ROM 即可執(zhí)行 OS，無需進行漫長的安裝過程。大部分 LiveCD 都是基于 Linux 內(nèi)核的（但也有一些用于其他操作系統(tǒng)的 LiveCD）。LiveCD 的工作方式是將文件放到 RAM 磁盤中（這樣就減少了應用程序可以使用的 RAM，因此性能可能會降低）。一旦取出 LiveCD 并重新啟動系統(tǒng)之后，原系統(tǒng)就恢復了。有些 LiveCD 還提供了一個安裝工具，使您可將系統(tǒng)安裝到硬盤或 USB 磁盤上；大部分 LiveCD 都可以訪問內(nèi)部/外部硬盤、磁盤或閃存上的信息。
syslinux 用來啟動基于 Linux 的 LiveCD，以及 Linux 軟盤。對于 PC 來說，可引導 CD 通常都遵守 El Torito 規(guī)范，會將磁盤上的某個文件（可能是隱藏文件）當作一個軟盤映像使用。很多 LiveCD 都使用壓縮的文件系統(tǒng)映像，其中通常會使用 cloop 壓縮 loopback 驅(qū)動器有效地雙倍利用存儲能力。
市場上有很多模擬器可以用于試用 LiveCD，而不需將其刻錄成 CD 或在計算機上啟動。支持最為廣泛的 i386 模擬器是 VMware。其他模擬器還有 Qemu、PearPC 和 Bochs，它們都可以用于模擬 x86 和/或 PowerPC? 平臺；但由于所采用的模擬方法的不同，因此速度比一些商業(yè)化模擬器慢。另外一種商業(yè)化模擬器是 VirtualPC。
調(diào)查計算機
侵入計算機和計算機網(wǎng)絡并在其掩護下進行嚴重非法活動是一種非常普遍的行為，甚至普遍到許多人都具備實現(xiàn)此類行為的必備技能。然而，檢測并捕捉入侵者的能力卻并非同樣普遍。偉大的（盡管是虛構的）偵探福爾摩斯曾經(jīng)說過：“在搜集齊所有證據(jù)之前就進行推理是一個絕大的錯誤。這會讓判斷有所偏頗。”
從遭遇安全威脅的系統(tǒng)中搜集證據(jù)是計算機 “取證” 專家（數(shù)字時代的福爾摩斯）的工作。他們使用專門工具來搜集、研究并分析關于系統(tǒng)的信息。對于這種工作來說，最好的工具是開源工具，這并不奇怪。The Coroner's Toolkit (TCT)、Sleuth Kit、Autopsy Forensic Browser 以及 FLAG (Forensics Log Analysis GUI) 都是非常流行的工具，不但安全專家喜歡使用這些工具，很多計算機安全課程的講師也都很喜歡這種工具。
Helix
與很多專門 LiveCD 一樣，Helix 也是應需產(chǎn)生的。Andrew Fahey 是 e-fense Inc. 的一位合作安全專家，他以 Knoppix 作為基礎，并添加了很多日常工作中使用的工具。
“Helix 用戶非常有參與意識。全世界都有 Helix 的用戶，他們不斷提供反饋信息。由于人們是在不同的環(huán)境中使用 Helix，因此要確保所有組件在任何情況下都可精確完成工作是一項持續(xù)不斷、耗時很多的任務。所以我依靠用戶的反饋改進 Helix，并修正他們所發(fā)現(xiàn)的故障。我還要依靠用戶完成語言翻譯。” Andrew 說。
Helix 有一個 Windows? 端的活動接口，允許映像一個 Live Windows 系統(tǒng)。此接口已被翻譯成了德語，很快會有葡萄牙語版本。另外，很多事件/響應工具按最初形成的想法進行了設計。很多組織教育機構也開始使用 Helix，其中包括 National White Collar Crime Center (NW3C)、System Administrator Network Security (SANS) Institute 和 National Consortium for Justice Information and Statistics。
Helix 并非為在硬盤上安裝而設計，但將來的版本可能具備此功能。“我希望能夠有一個類似于 Fedora 所用的那種進行硬件識別的硬件抽象層。在不久之前，我們剛剛添加了 union-fs 模塊，這是我們需要克服的一個主要障礙。” Andrew 說。盡管 Helix 中的大部分工具都是 Andrew 自己選擇的，但有些工具是由社區(qū)推薦的。Andrew 面對的最大問題就是有些工具需要許可證。
下一版本將提供一些更新工具、全新的 Retriever 和 Adepto 程序，Andrew 一直在使用這些程序及 Sleuth Kit 和 PyFLAG 中提供的工具。
圖 1. 正在掃描病毒的 Helix、PyFLAG、Adepto 和 ClamAV