Archivi categoria: news

Tsurugi Linux Lab - Digital Forensics Distro

Tsurugi Linux, la nuova distribuzione forense tutta italiana

Tsurugi Linux Forensics DistroUna nuova distribuzione forense si affaccia nel panorama italiano, per fornire strumenti e supporto durante le attività di perizia informatica svolte dai consulenti informatici forensi e degli esperti d’informatica forense che operano all’interno delle Forze dell’Ordine. A discapito del nome – che di italiano ha poco – la distribuzione “Tsurugi Linux” – scaricabile gratuitamente dal sito tsurugi-linux.org e con il logo mostrato qui a destra – è nata dalle tastiere di Giovanni ‘sug4r’ Rattaro e Marco ‘blackmoon’ Giorgi, che hanno realizzato le versioni “Tsurugi Lab” e “Tsurugi Acquire” con l’integrazione del lavoro svolto da Davide ‘rebus’ Gabrini, che ha realizzato la piattaforma “Bento”, distribuita sul sito di Tsurugi ma separata dal sistema mainstream.

La presentazione ufficiale della distro forense è avvenuta durante la conferenza AvTokio in Giappone, con il talk “TSURUGI Linux – the sharpest weapon in your DFIR arsenal” durante il quale l’autore della piattaforma, Giovanni Rattaro, ne ha illustrato le principali caratteristiche.

Tsurugi Linux ad AVTokio Conference in Giappone

L’autore Giovanni Rattaro ha messo a disposizione di tutti le slide proiettate durante la conferenza AvTokio, dove presenta il team di sviluppo e spiega alcune delle scelte implementative e delle potenzialità del sistema, suddiviso nelle tre componenti del progetto Tsurugi Linux, Tsurugi Acquire e Bento.

Come tutte le distribuzioni forensi basate su Linux, Tsurugi Linux è un ambiente costituito da un Sistema Operativo Linux  sviluppato in modo da poter essere avviato direttamente su di un computer in modalità “live”, senza intaccare il sistema preesistente sul PC, oppure installato sul disco di un proprio computer o ancora su di una macchina virtuale.

Il fine di una distribuzione forense è quello di fornire un ambiente di lavoro predisposto per attività operative di acquisizione forense e di analisi, con gli strumenti testati, aggiornati e pre-configurati in modo tale da non richiedere procedure d’installazione e, se possibile, con le proprietà di write-blocking atte a non impattare su eventuali dispositivi esistenti sul PC su cui si opera o connessi successivamente.

Tsurugi-Linux viene distribuita in due versioni distinte, con finalità diverse, integrate da una raccolta di strumenti destinati ad attività incident response:

  • Tsurugi Lab: piattaforma dedicata all’informatica forense (acquisizione e analisi), OSINT e analisi malware, avviabile direttamente su DVD o su pendrive, distribuita come ISO ma, potenzialmente, installabile su un PC o su di una macchina virtuale, basata su Linux Ubuntu Mate LTS con Kernel 4.18.5 a 64 bit;
  • Tsurugi Acquire: sistema dedicato alla sola fase di acquisizione forense, con possibilità di eseguire limitati triage e verifiche di copie forensi, basata su Linux Ubuntu Mate LTS con Kernel 4.18.5 a 32 bit per maggiore compatibilità con dispositivi obsoleti;
  • Bento: raccolta di tool per Windows, Mac e Linux, da utilizzare su sistemi accesi e avviati per attività d’incident response o analisi forense sul campo.

Quelli che sembrano, per ora, essere i punti di forza di questa nuova distribuzione forense sono i seguenti:

  • un menù completo di numerosissimi tool per la digital forensics e ordinato secondo i tipici step di un’analisi forense: imaging, hashing, mount, timeline, artifacts analysis, data recovery, memory forensics, malware analysis, password recovery, network analysis, picture analysis, mobile forensics, OSINT, virtual forensics, crypto currency, other tools e reporting, con gli strumenti riportati anche più di una volta nelle sezioni all’interno delle quali ha senso che vengano utilizzati;
  • un aggiornamento (che speriamo continui anche in futuro) alle versioni più recenti di kernel e driver (a supporto dei tipi più svariati di schede video, audio, SATA, IDE, RAID, etc…) per poter avviare il maggior numero di PC e possibili, anche obsoleti;
  • possibilità di utilizzare la distribuzione sia in modalità live, con garanzie di blocco scrittura sui dischi, inibizione dell’automount e possibilità di montare in sola lettura i dispositivi, sia d’installare la piattaforma di analisi forense su PC o su di una macchina virtuale;
  • riduzione della dimensione occupata dall’immagine della distribuzione forense, limitata a 3.8 GB per la versione “full” Tsurugi Lab e poco più di 1GB per la versione “light” Tsurugi Acquire;
  • un team di sviluppo pronto a integrare nuovi strumenti di acquisizione e analisi;
  • una comunità che già pochi giorni dopo la pubblicazione sta crescendo in modo esponenziale, non soltanto in Italia ma anche in tutto il resto del mondo, e che sta pubblicando articoli sulla piattaforma e integrandola con script per configurare nuovi applicativi.

Tsurugi Linux entra in un contesto nel quale esistono già diverse distribuzioni dedicate all’informatica forense, a partire dalle ottime DEFT Linux (declinata nelle due versioni DEFT XVA come Virtual Appliance e DEFT Zero per le acquisizioni forensi) e CAINE, entrambe italiane, per arrivare alle straniere Paladin, Raptor e SIFT, ma anche in misura minore Kali Linux, Parrot e BackBox.

Ogni distro forense ha diverse modalità operative, strumenti, aggiornamenti e driver, per questo motivo il consiglio è di tenere una copia di tutte le distribuzioni d’informatica forense e utilizzarle in base al contesto. Non di rado, infatti, su particolari hardware una live distro risulta compatibile mentre un’altra non lo è, oppure una riesce a portare a termine un’attività di copia forense e l’altra può avere dei problemi.

Di seguito riportiamo alcune screenshot rappresentative di Tsurugi Linux, iniziando dalle scelte di avvio di Tsurugi Lab che al boot permette di avviare la forensic distro con interfaccia grafica attingendo alla pendrive/DVD che deve quindi rimanere inserita oppure caricandone il contenuto in RAM e permettendone quindi la rimozione, disabilitando in caso di necessità la grafica operando su display testuale. In caso di problemi al boot, è possibile disabilitare i driver nVidia e ATI, che su alcuni notebook interrompono l’avvio o non permettono di caricare l’interfaccia grafica.

Distribuzione Forense Tsurugi Linux e Boot

La schermata di Tsurugi Linux in versione Lab Edition contiene l’icona per l’installazione su PC o Macchina Virtuale, un OSINT Switcher, un Device Unlocker  e le informazioni in tempo reale sul sistema (RAM, CPU, rete, upload/download, etc…).

Tsurugi Linux Lab - Digital Forensics Distro

Novità per una distribuzione forense è l’introduzione di una sezione di Crypto Currency Forensics, in particolare bitcoin forensics, dedicata alle indagini digitali sulle criptomonete, con software come BTCRecover, BTCScan, BX Bitcoin Explorer, BitAddress, Bitcoin Bash Tools, Bitcoin-Tool, Bruteforce-Wallet, CoinBin, KeyHunter ed il wallet Electrum, che è possibile utilizzare anche in combinazione con la rete anonima Tor.

Bitcoin Forensics con Tsurugi LinuxPer chi desidera operare in ambito di ricerche online mediante tecniche OSINT, è disponibile il Tsurugi OSINT Profile Switcher, che disabilita i menù contenenti i tool di digital forensics mostrando solamente la sezione OSINT.

Tsurugi Linux Lab - OSINT Profile Switcher

Per poter abilitare la scrittura sui dispositivi connessi al sistema, viene fornito un “Tsurugi Device Unlocker” grafico.

Tsurugi Linux Device Unlocker

Infine, per chi ha necessità di eseguire copie forensi, attività di hashing o verifica di immagini forensi, la distribuzione Tsurugi Acquire permette di aumentare la velocità di avvio con la possibilità di caricare in RAM l’intera immagine poiché la dimensione della ISO è di circa 1GB, contro i quasi 4 della versione Tsurugi Lab.

Tsurugi Acquire, live forensic distro per copie forensi

Si consiglia di prestare attenzione al fatto che la versione Tsurugi Lab, se installata su PC o macchina virtuale, non blocca correttamente da scrittura i dischi collegati al sistema. Gli sviluppatori stanno lavorando per fixare questo problema, derivato dall’aggiornamento del kernel.

Download di Deft XVA Linux per Informatica Forense

DEFT XVA Virtual Machine disponibile per il download

Download di Deft XVA Linux per Informatica ForenseDEFT XVA, la tanto attesa versione X della piattaforma di analisi forense e investigazioni digitali DEFT Linux è disponibile per il download, sotto forma di disco virtuale importabile su VMWare o VirtualBox e contenente strumenti per attività di analisi forense in ambito d’informatica forense e indagini digitali.

Basata su Ubuntu Mate 18.04, con il kernel in versione 4.15.0-36-generic, DEFT Linux X contiene una raccolta di tool free ed open source per l’analisi forense e indagini digitali, che vanno dall’estrazione artefatti, mount, data recovery, network forensics, hashing, OSINT, Imaging, password recovery, picture forensics, live forensics, malware analysis, timeline, virtual forensics, mobile forensics, wipe, mount manager e per concludere Autopsy.

DEFT XVA Distribuzione Forense Linux

 

DEFT XVA, ultima piattaforma della suite DEFT Linux, componente strategica di ogni consulente informatico forense, non viene avviata con utente root autenticato sul sistema ma con lo user “investigator”, la cui password di default è “investigator”. In ambito di perizia informatica forense, una distribuzione come DEFT Linux può essere utile per eseguire attività di analisi forense delle evidenze e produrre una relazione tecnica contenente le risultanze della propria attività d’indagine digitale sui dati ottenuti tramite copia forense, eseguita ad esempio tramite la versione ridotta della piattaforma DEFT, chiamata DEFT Zero e disponibile da settembre nella versine 2018.2.

Su DEFT XVA, per montare in lettura o scrittura dispositivi di archiviazione di massa (hard disk, pendrive, schede di memoria, etc…) sono disponibili sia l’interfaccia grafica di mount manager, sia i comandi “wrtblk” e “wrtblk-disable” già presenti da anni sulla piattaforma DEFT Zero.

DEFT XVA mount manager per montare dischi in read only o scrittura

Si ricorda infatti che DEFT Linux non monta in automatico i dischi connessi al PC né al momento del boot e neanche successivamente, quando vengono collegati nuovi dispositivi, ma offre sempre la possibilità di montare in modalità sola lettura (“read-only” o “ro”) o in scrittura (“read-write”, “rw”) i dischi sia tramite il file manager grafico PCManFM, cliccando con il tasto destro sul disco che s’intende montare e selezionando”Mount in protected mode (Read Only)” per montare i dischi in modalità read only e “Mount Volume” per montarli in scrittura.

DEFT Zero file manager per montare i dischi in read only

Per chi preferisce la linea di comando, è sempre possibile bloccare e sbloccare la scrittura su disco (che di default è sempre bloccata) tramite gli script “wrtblk-disable” e “wrtblk-enable”. Lo script “wrtblk-disable” prende in input il nome del device da sbloccare in scrittura (quindi sul quale sarà possibile fare un mount in modalità “rw”), digitando ad esempio “wrtblk-disable sda” per sbloccare il device /dev/sda, che potrà quindi essere montato anche in scrittura o sul quale sarà possibile scrivere anche direttamente tramite dd).

Per bloccare nuovamente il disco in sola lettura, è sufficiente digitare – sempre da linea di comando – lo script “wrtblk” seguito dal device sul quale s’intende impedire la scrittura. Il comando “wrtblk sda“, ad esempio, farà sì che sul device /dev/sda diventi impossibile scrivere, sia tramite mount in modalità “rw” ma anche a basso livello, agendo direttamente sul dispositivo tramite comandi come dd, dcfldd o dc3dd.

I due script “wrtblk” e “wrtblk-disable” non fanno altro che richiamare il comando linux “blockdev”, che con il parametro “–setrw” abilita la scrittura su di un disco, mentre con il comando “–setro” ne blocca la scrittura permettendone soltanto la lettura, secondo questo schema:

  • blockdev –setrw /dev/sdX“: permette la scrittura sul device sdX;
  • blockdev –setro /dev/sdX“: blocca la scrittura sul device sdX, permettendo la sola lettura.

Una volta bloccato o sbloccato da scrittura un dispositivo, è comunque necessario – per scriverci o leggerne il contenuto – eseguire il comando “mount” con gli opportuni parametri “-o ro” (per montare in sola lettura, read-only) oppure “-o rw” (per montare in lettura e scrittura – read-write) da GUI oppure da cmdline.

Il download della virtual appliance DEFT X può essere eseguito gratuitamente tramite il mirror GARR (spesso non funzionante) oppure tramite la piattaforma di file sharing Mega. Purtroppo la dimensione del file contenente la VA è notevole, il file compresso “DeftXva.1.zip” che si scarica dal mirror GARR e da Mega occupa ben 13 GB e contiene un disco virtuale VMDK da 36 GB.

L’archivio ZIP “DeftXva.1.zip” che si ottiene al seguito del download contenente la macchina virtuale DEFT XVA produce i seguenti valori hash:

  • MD5: 1ccb2b3e5934712805f572848647e53c
  • SHA1: a07fec3990614bef8672ed27112c15c9a3dba35d
  • SHA256: 291f0a8fd1c3552fbf51cd826779c541e29650dd7e65038e9f2cd1eb63ac60cd

Il file “Deft X, va-disk1.vmdk” contenuto all’interno dell’archivio “DeftXva.1.zip” in download possiede i seguenti valori hash:

  • MD5: 54ad69a107a262046a7881856186f2e7
  • SHA1: 9d188848111c48a0a19cb82677d1e6374de3b08c
  • SHA256: dd3e76f25051bacf88cfa75f2596e915df79ce4f4a87564683d1c6c202db65c3

Al suo interno è contenuto un disco virtuale VMDK, che è necessario importare in una macchina virtuale creata, ad esempio, tramite VMWare oppure VirtualBox.

Cyber Security presso il Master in Data Science for Business Intelligence

SMaster MADAB a Torinoono iniziate le lezioni di CyberSecurity presso il Master in Data Science for Business Intelligence (MADAB), attivato dall’Università degli Studi di Torino e organizzato da Despina Big Data Lab, il laboratorio di Big Data Analytics del Dipartimento di Economia e Statistica dell’Università e finanziato dalla Regione Piemonte grazie allo strumento dell’Apprendistato di alta formazione e ricerca.

Durante il corso che si terrà presso il Aula D2, Campus Luigi Einaudi, Lungo Dora Siena, 100/A  a Torino terrò la docenza del modulo di CyberSecurity, trattando argomenti relativi alla sicurezza informatica e informatica forense, in ambito prevalentemente aziendale/corporate o di ricerca e in ottica GDPR. Saranno trattati anche arIl Master in Data Science for Business Intelligence (MADAB) intende infatti fornire competenze e metodologie necessarie alla professione di Business Intelligence Analyst: una figura in grado di affiancare e supportare il management aziendale con strumenti di rilevanza strategica, finalizzati al raggiungimento degli obiettivi dell’impresa, per la quale la Cyber Security deve essere elemento strategico nel prendere decisioni e valutare le situazioni che occorrono in ambito corporate. Si consideri ad esempio l’importanza della conoscenza delle basi di digital forensics in caso di data breach e conseguenti indagini interne per poter fornire al Garante o agli interessati le informazioni che per legge devono essere predisposte entro 72 ore.

Per gli studenti, durante le lezioni saranno distribuite le slide proiettate durante il corso e forniti link, dispense e spunti per approfondire le tematiche trattate.

Bitcoin, Blockchain e Criptovalute a Bologna

Convegno su Bitcoin, Blockchain e Criptovalute a Bologna

Bitcoin, Blockchain e Criptovalute a BolognaLunedì 17 settembre 2018, dalle ore 14:30 alle 18.30 si terrà a Bologna il convegno su “Bitcoin, Blockchain e Criptovalute: principi di funzionamento, potenzialità investigative, aspetti giuridici e fiscali” a cura della Commissione Studi dell’ODCEC di Bologna “Commercialista 4.0”. L’evento sulle criptomonete e gli aspetti investigativi, giuridici e fiscali si terrà presso la Sala Conferenze Marco Biagi, sita in Piazza De’ Calderini 2/2 a Bologna. Valido ai fini della Formazione Professionale Continua per gli Iscritti all’Ordine dei Dottori Commercialisti e degli Esperti Contabili e per gli iscritti al Consiglio Notarile, il seminario seguirà il seguente programma, riportato anche nella locandina qui a fianco scaricabile in formato PDF cliccandovi sopra:

Saluti istituzionali

  • Dott. Andrea Foschi: Dottore Commercialista in Parma, Revisore Legale, Consigliere del CNDCEC
  • Dott. Alessandro Bonazzi: Dottore Commercialista in Bologna, Revisore Legale, Presidente dell’ODCEC di Bologna
  • Dott. Claudio Babbini: Notaio in Bologna, Presidente del Consiglio Notarile di Bologna

Coordina e modera

  • Dott. Giovanni Rocco di Torrepadula: Dottore Commercialista in Bologna, Revisore Legale, Presidente della Commissione “Commercialista 4.0” dell’ODCEC di Bologna

Relazioni e Relatori

  • Dott. Paolo Dal Checco, Consulente Informatico Forense – “Principi di base, tracciamento, deanonimizzazione e potenzialità di indagine sulle criptomonete
  • Dott. Stefano Capaccioli, Dottore Commercialista in Arezzo – “Criptovalute e regolamentazione: Riciclaggio ed Antiriciclaggio
  • Dott. Michele Manente, Notaio in Marcon (VE), Componente della Commissione Informatica del Consiglio del Notariato – “Blockchain e Criptovalute: i ‘costi della sfiducia’

Il convegno è gratuito per gli Iscritti all’ODCEC di Bologna, per i Soci Sostenitori della Fondazione DCEC di Bologna, e per gli Iscritti al Consiglio Notarile. Per i terzi è dovuto un diritto di segreteria pari a 20€ iva inclusa. È obbligatoria l’iscrizione da effettuarsi esclusivamente on line sul portale della Formazione Professionale Continua Unificata.

DEFT Zero 2018.2 Download

DEFT Zero 2018.2, live distro disponibile in download

DEFT Zero 2018.2 DownloadDisponibile per il download la versione 2018.2 di DEFT Zero, la distribuzione forense gratuita e open source dedicata all’acquisizione forense di sistemi x86 e x64 basata su Linux. Con dimensione di soli 650 MN, la live distro DEFT Zero può essere avviata anche su PC con poca memoria RAM, anche con il caricamento diretto in memoria così da poter garantire velocità e liberare, nel contempo, la porta USB o il lettore CD dal quale la distribuzione è stata avviata.

Le distribuzioni forensi vengono utilizzate quotidianamente da periti informatici e consulenti d’informatica forense per eseguire attività di acquisizione e analisi delle prove digitali finalizzate alla produzione in giudizio e utilizzo in Tribunale delle evidenze. I punti di forza delle live distro sono la completezza di strumenti, compatibilità con un gran numero di dispositivi e la componente open source che conferisce possibilità di esame in contraddittorio dei metodi utilizzati per le acquisizioni e analisi forensi da parte dei consulenti informatici forensi nella produzione delle perizie informatiche che vengono loro commissionate.

La forensic distro DEFT Zero 2018.2 supporta bios UEFI e secure boot, è basata su Lubuntu 14.04.5 LTS, Kernel Linux 4.4.0-53 e possiede la versione 0.8.8. di Guymager che fa uso della 20130416 di libewf. Sono presenti i tradizionali tool di hashing così come quelli indispensabili per eseguire copie forensi di hard disk e memorie di massa tra i quali spiccano Guymager, FTK Imager, dc4dd, dcfldd, ddrescue, dd_rescue ma anche la libreria “dislocker” per gestire dischi criptati con bitlocker e il tool per dischi e partizioni criptate VeraCrypt.

Deft Zero 2018.2

Le novità di questa versione sono il supporto ai nuovi Apple Macbook e Macbook Pro, con i dischi SSD nVME o PCIe che DEFT Zero è in grado di rilevare, montare o acquisire in maniera forense.

La password di root di DEFT Zero è sempre “deft”, nel caso in cui la GUI dovesse andare in crash, è possibile lanciarla e loggarsi utilizzando utente “root” e password “deft”, così da tornare in una interfaccia grafica utilizzabile.

Al boot DEFT Zero offre la possibilità di caricare il sistema in RAM (così da poter rimuovere, dopo l’avvio, la pendrive o il CD contenente la distribuzione forense) oppure di attingere al sistema dal supporto e, in caso di PC obsoleti, di non avviare l’interfaccia grafica attivando soltanto il terminale. Per i più esperti, sono disponibili tramite il tasto  F6 ulteriori parametri di avvio, come “acpi=off”, “noapic”, “nolapic”, “edd=on”, “nodmraid”e  “nomodeset”, utili ad esempio per l’avvio su sistemi con particolari schede grafiche, controller RAID o di gestione energia o su Macbook o iMac.

DEFT Zero parametri del kernel al boot

Di default, DEFT Linux non monta in automatico i dischi connessi al PC né al momento del boot e neanche successivamente, quando vengono collegati nuovi dispositivi, ma offre sempre la possibilità di montare in modalità sola lettura (“read-only” o “ro”) o in scrittura (“read-write”, “rw”) i dischi sia tramite il file manager grafico PCManFM, cliccando con il tasto destro sul disco che s’intende montare e selezionando”Mount in protected mode (Read Only)” per montare i dischi in modalità read only e “Mount Volume” per montarli in scrittura.

DEFT Zero file manager per montare i dischi in read only

Per chi preferisce la linea di comando, è sempre possibile bloccare e sbloccare la scrittura su disco (che di default è sempre bloccata) tramite gli script “wrtblk-disable” e “wrtblk-enable”. Lo script “wrtblk-disable” prende in input il nome del device da sbloccare in scrittura (quindi sul quale sarà possibile fare un mount in modalità “rw”), digitando ad esempio “wrtblk-disable sda” per sbloccare il device /dev/sda, che potrà quindi essere montato anche in scrittura o sul quale sarà possibile scrivere anche direttamente tramite dd).

Come abilitare la scrittura sui dischi in DEFT Linux con wrtblk-disable

Per bloccare nuovamente il disco in sola lettura, è sufficiente digitare – sempre da linea di comando – lo script “wrtblk” seguito dal device sul quale s’intende impedire la scrittura. Il comando “wrtblk sda“, ad esempio, farà sì che sul device /dev/sda diventi impossibile scrivere, sia tramite mount in modalità “rw” ma anche a basso livello, agendo direttamente sul dispositivo tramite comandi come dd, dcfldd o dc3dd.

Come bloccare in scrittura i dischi tramite wrtblk in DEFT Linux

I due script “wrtblk” e “wrtblk-disable” non fanno altro che richiamare il comando linux “blockdev”, che con il parametro “–setrw” abilita la scrittura su di un disco, mentre con il comando “–setro” ne blocca la scrittura permettendone soltanto la lettura, secondo questo schema:

  • blockdev –setrw /dev/sdX“: permette la scrittura sul device sdX;
  • blockdev –setro /dev/sdX“: blocca la scrittura sul device sdX, permettendo la sola lettura.

Una volta bloccato o sbloccato da scrittura un dispositivo, è comunque necessario – per scriverci o leggerne il contenuto – eseguire il comando “mount” con gli opportuni parametri “-o ro” (per montare in sola lettura, read-only) oppure “-o rw” (per montare in lettura e scrittura – read-write) da GUI oppure da cmdline.

Il download della distribuzione forense DEFT Zero, in versione 2018.2, è disponibile gratuitamente dal mirror GARR e il valore hash di controllo della ISO è cd410c27ac580f0efd1d7eab408b4edb. Si ricorda che la password di root di DEFT Zero è “root” e l’utente è “deft” e il file “deftZ-2018-2.iso” produce i seguenti valori hash:

  • MD5: cd410c27ac580f0efd1d7eab408b4edb
  • SHA1: 8d42a0cf6c33c0602dcbded202d87a7629c46cc9
  • SHA256: 26234790be3c3641cd9018c1b2286e2f8422109cdc4e011f75db8b10a295ae28

Ricordiamo che la immagine ISO di DEFT Zero, una volta terminato il download, può essere masterizzata su di un CD (con qualunque software che supporti masterizzazione di ISO, come ImgBurn, CDBurnerXP o FreeISOburner) ma anche più comodamente riversata su di una pendrive USB che quindi può essere utilizzata per avviare il PC sul quale la piattaforma DEFT verrà caricata in live.

I software consigliati per riversare la ISO di DEFT Zero su pennetta USB sono UnetBootIn, Etcher e Rufus, disponibili per Windows, Mac o Linux, richiedono il percorso del file ISO contenente il download di DEFT Zero e ne salvano il contento su una pendrive USB rendendola avviabile dal sistema. E’ altresì possibile riversare DEFT Zero su una pendrive multibook, utilizzando strumenti come Sardu, Yumi o Easy2Boot.

Chi è interessato ad approfondire la lista dei pacchetti installati in DEFT Zero 2018.2 e i relativi numeri di versione, può trovarli al link Deft Zero 2018.2 packet list.