« Linux kernel メモ | トップページ | ubuntu linux root パスワードをうっかり忘れたときに再設定する方法 »

フォレンジック調査に必要なツールが収録された仮想マシン(VM)イメージ - SIFT(SANS Investigative Forensic Toolkit) Workstation を使ってみた

フォレンジック調査に必要なツールが収録された仮想マシン(VM)イメージ

- SIFT(SANS Investigative Forensic Toolkit) Workstation を使ってみた


キーワード: Forensic、フォレンジック、アプライアンス、VMイメージ、SIFT、SANS

このエントリーをはてなブックマークに追加

スポンサーリンク

概要

SIFT(SANS Investigative Forensic Toolkit)は、米国のSANS Institute が無償で提供しているデジタルフォレンジック用の仮想マシンです。フォレンジックに必要となるツール類が予めインストールされているため、すぐに調査に利用でき非常に便利です。  
提供される仮想マシンは VMware イメージの形式になっていますが、VirtualBox などの他の仮想化ソフトウェアでも利用が可能です。今回は無償の仮想化ソフトウェア VirtualBox で利用する方法を紹介します。SIFT Workstationは、以下のURLからダウンロード可能です。ダウンロードには SANS Institute のアカウントが必要になります。アカウントは無償で作成できるので登録しておきましょう。

 

Digital Forensics Training | Incident Response Training | SANS       
https://digital-forensics.sans.org/login

 

SANS SIFT Kit/Workstation: Investigative Forensic Toolkit Download    
http://digital-forensics.sans.org/community/downloads

SIFT Workstation 3.0 からは、ベース OS として 64 bit の Ubuntu 12.4 が採用されています。  
早速 VirtaulBox で 64bit の ubuntu の仮想マシンを作ろうとしたが 64bit の ubuntu が選べませんでした。調べてみるとPC の BIOS で 仮想化支援機構(VT-x/AMD-V) を有効化しておく必要があることがわかりました。仮想化支援機能は、VirtualBoxがソフトウェアで処理しているリソース要求などの割り込み処理を、ハードウェアで処理する機能です。64bit の仮想化マシンを作るには、この機能を有効にしておく必要があるようです。

今回は、以下の方法で仮想化支援機能を有効にして 64bit の ubuntu 仮想マシンを作成することができました。

支援機構(VT-x/AMD-V)を有効にする方法

Lenovo の BIOS の場合、電源押した直後に ENTER で BIOS 設定画面が表示されます。  
BIOS メニューの Advanced 画面で「Intel(R) Virtualization Technology」を Enable すれば OK でした。

VirutalBox で利用する方法

仮想マシンの新規作成で「ubuntu 64bit」を選び、「ハードディスクを追加しない」状態で作成  
「SIFT Workstation 3.0.7z」に入っている VMDK を IDE に追加します 
最初に OS がインストールされているシステムドライブである「SIFT Workstation 3.0 Core Drive.vmdk」を追加  
その後、ケースを格納するディレクトリ「/cases」にマウントされるドライブ「SIFT Workstation 3.0 Cases.vmdk」を追加する  
電源ボタンを押すと SIFT Workstation が起動します。


SIFT Workstation のデフォルトのユーザ名とパスワード

SIFT Workstation は、以下のユーザ、パスワードでログインできます。ログイン後は、パスワードを変更します。

 

User: sansforensics    
Password: forensics

以下のコマンドでパスワードを変更できます。

 

> password

root 権限を使いたい場合は、sudo コマンドを利用します。

 

> sudo su    
#

SIFT Workstation の日本語環境の設定

スポンサーリンク

SIFT Workstation はデフォルトではUSのタイムゾーンになっています。フォレンジック調査ではタイムライン分析等で時刻情報が重要な情報になるため、調査対象のタイムゾーンと合わせておいた方が間違いや混乱がなく良いと思います。また、日本語入力もできません。日本語のキーワードで検索するときなどに必要になってくるので、日本語入力が出来るように設定しておく必要があります。

  • 日本のタイムゾーン(JST)の設定  

    dpkg-reconfigure tzdata    
    Asia -> Tokyo

  • 日本語キーボードの設定  

    dpkg-reconfigure keybord-configuration    
    DELL -> Japanese -> Japanese

  • 日本語ロケールの設定  

    dpkg-reconfigure locales    
    ja_JP.UTF-8  up-to-date

     

    update-locale LANG=ja_JP.UTF-8

     

    vi /etc/environment    
    LANG="ja_JP.UTF8"

  • 日本語入力の設定
  • メニューバーから「DASH ホーム」-「入力メソッド切替器」で「SCIM」を選択

    追加パッケージ

    自分が普段使っているツールや調査分析に必要なツール類を追加します。 ここでは nkf のような文字コード変換プログラムや php プログラムの解析のため php-cli をインストールしたりしています。

    apt-get update  
    apt-get install chkconfig  
    apt-get install nkf  
    apt-get install language-pack-ja  
    apt-get install scim-anthy  
    apt-get install apache2  
    apt-get isntall squid  
    apt-get install php5-cli

     

    削除パッケージ

    SIFT Workstation の VMイメージは VMware 形式で作られており、VMware Tools がインストールされています。今回は VirtualBox で利用するため VMware tools をアンインストールしておきます。

    # apt-get autoremove vmware-*

    VirtualBox Guest Additions インストール

    VirutualBox のメニューの「デバイス」から「Guest Additions のCDイメージの挿入」を選ぶ

    # cd /media/VBOXADDITIONS_*  
    # sh ./VBoxLinuxAdditions.run

     

    収録されているフォレンジック調査ツール

    スポンサーリンク

    SIFT に収録されているツール(一部)

     

                                                                                                                                                                                                                                                                                                                   
    ツール名 概要
    regripper レジストリをパースしてわかりやすく表示してくれるツール
    log2timeline ファイルシステムやレジストリ、ブラウザ履歴などさまざまなデータからタイムラインを作成してくれるツール
    sleuthkit ファイルシステムを解析するツール。削除されたファイルの調査や復元などが出来る。FAT/NTFS/EXT/HFSなど多くの種類のファイルシステムをサポートしている。mmls, fls, ils, icat, istat, blkls, blkcat などのコマンド群
    dcfldd ディスクイメージを作成するツール。GNU dd をフォレンジック用に改良したツール。
    dc3dd ディスクイメージを作成するツール。GNU dd をフォレンジック用に改良したツール。
    volatility メモリフォレンジックツール。メモリーイメージを解析することができる。
    foremost カービングという方法で削除されたファイルを復元するツール。Sleuthkit の blkls でファイルシステムの未使用領域のイメージを作成して、そのイメージに対して実行する。
    deleted.pl 削除されたレジストリデータを復元してくれるツール
    qemu 仮想ディスク vmdk などを raw イメージに変換するときなどに利用する

     

    « Linux kernel メモ | トップページ | ubuntu linux root パスワードをうっかり忘れたときに再設定する方法 »

    Linux」カテゴリの記事

    セキュリティ(Security)」カテゴリの記事

    フォレンジック(Forensics)」カテゴリの記事

    技術一般」カテゴリの記事

    トラックバック

    この記事のトラックバックURL:
    http://app.cocolog-nifty.com/t/trackback/503138/59347229

    この記事へのトラックバック一覧です: フォレンジック調査に必要なツールが収録された仮想マシン(VM)イメージ - SIFT(SANS Investigative Forensic Toolkit) Workstation を使ってみた:

    « Linux kernel メモ | トップページ | ubuntu linux root パスワードをうっかり忘れたときに再設定する方法 »

    記事一覧

    スポンサードリンク


    Twitter


    無料ブログはココログ

    ブログ検索