フォレンジック
目次 †
Tool解説 †
The Coroner’s Toolkit †
がんばってコンパイルしようとしたのですが。
FC3ではコンパイル出来なかったのでTCTは省略します。
変わりにSleuth Kitを使えば問題ありません。
基本的にTCTのプログラムのほとんどはSleuth Kitが引きついていますので
TCTと同じように使えます。
Sleuth Kit †
Sleuth Kit単体で使うよりもAutopsyを使って解析をすることのほうが多いと思われるので、ここでは単純にコンパイルするだけにとどめる。
重要なことはデータを解析することであって、ソフトを使うことではない。
tar zxvf sleuthkit-1.73.tar.gz
cd sleuthkit-1.73
make
make test
make sorter
これでインストール完了
Autopsy †
AutopsyはSleuth KitをGUIで扱うためのソフトウェアである。
make
Enter the directory where you installed it: ../sleuthkit-1.73
Have you purchased or downloaded a copy of the NSRL (y/n) [n]
vi conf.pl
--------------------------------------------------
$LOCKDIR = './';
--------------------------------------------------
make live
Case Name: The name of this investigation. It can contain only letters, numbers, and symbols.
ケース名:この調査の名前。文字、数字および記号だけを含むことができます。
Description: An optional, one line description of this case.
記述:このcaseに1行だけ注釈を記述できる。(オプション)
Investigator Names: The optional names (with no spaces) of the investigators for this case.
調査者名:このcaseのための調査者の名前(スペースは入れない)。
Host Name: The name of the computer being investigated. It can contain only letters, numbers, and symbols.
ホスト名:調査されているコンピューターの名前。文字、数字および記号だけを含むことができます。
Description: An optional one-line description or note about this computer.
記述:1行だけこのコンピューターに関する注釈を記入できます。(オプション)
Timezone: An optional timezone value (i.e. EST5EDT). If not given, it defaults to the local setting.
時間帯:オプションの時間帯価値(例えばEST5EDT)。もし与えられなければ、自動的にローカルのセッティングになります。
Timeskew Adjustment: An optional value to describe how many seconds this computer's clock was out of sync. For example, if the computer was 10 seconds fast, then enter -10 to compensate.
Timeskew調節:いくつがこのコンピューターの時計を支持するか説明するオプションの値は同時録音が欠乏していました。例えば、コンピューターが10秒速かった場合は、補うために-10を入力してください。
Path of Alert Hash Database: An optional hash database of known bad files.
アラートハッシュ・データベースのパス:既知の悪いファイルのハッシュ・データベース。(オプション)
Path of Ignore Hash Database: An optional hash database of known good files.
正常なハッシュ・データベースのパス:既知の正常なファイルのハッシュ・データベース。(オプション)
Location: The full path (starting with /) to the raw file system image.
イメージの位置:イメージファイルへのフルパス。(/から始まるパスの記述)
Import Method: The image can be imported into the Autopsy Evidence Locker from its current location by making a symbolic link, by copying it, or by moving it. Note that if a system failure occurs during the move, then the image could become corrupt.
インポートの方法:カレントディレクトリから見てイメージファイルをシンボリックなリンクを作るのか、コピーするのか、または移動させるのかということを"Autopsy Evidence Locker"決めることが出来ます。 もしファイルを移動している間にエラーが発生した場合、正しいイメージがマウントできないかもしれないので注意してください。
File System Type: Specify the type of file system.
ファイルシステムタイプ:ファイルシステムのタイプを指定してください。
Mount Point: The directory or drive where the file system was mounted in the original suspect system (i.e. C:\ for Windows or /usr/ for UNIX). Not needed for swap or raw file system types.
マウントポイント:ディレクトリ、あるいはファイルシステムがオリジナルのものにマウントされた場合、運転するシステム(つまり、ウインドウズ用のC:¥、あるいは/usr/UNIXのために)を疑います。スワップなのかデータファイルなのかということは関係ありません。
Data Integrity: An MD5 hash can be used to verify the integrity of the file system image.
データの完全性:MD5ハッシュ値をイメージの完全性を確認するために使用することができます。
Calculate the hash value for this image.
このイメージに対するハッシュ値を計算してください。
Ignore the hash value for this image.
このイメージに対するハッシュ値を無視してください。
Add the following hash value for this image:
このイメージに対する次のハッシュ値を以下に加えてください
Verify MD5 After Importing?
MD5値を計算してからインポートする。
データの解析 †
まずは 解析用のOSを設定し
rootkitでも埋め込んで
イメージを作り
その後で autopsyで解析実験
先は長そうです。
フォレンジックで使用できる便利な1CD/OS †
KNOPPIX †
最新版は3.7なのかな・・・
F.I.R.E. †
Penguin Sleuth †
参考リンク †
The Coroner's Toolkit (TCT)
sleuthkit&autopsy
UTF-8 output patch for task-1.60/sleuthkit-1.6x
Autopsy UTF-8対応Patch
Team T-dori
KNIPPIX
F.I.R.E.
Penguin Sleuth
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
