フォレンジック向けLinux「Paladin」を用いたディスク保全
概要
Paladin はフォレンジック目的に開発されたLinuxディストリビューションです。
Paladin LTSと Paladin Edgeの2種類があります。LTSは名前の通りLong-Term Supportなんでしょう。Edgeはより軽量なのと、32bit版も提供されているので保全に適してるのかなと思います。
また重要なことですが、商用利用する場合Paladin LTSは有償($25以上の寄付が必要)です。
Edgeは制限として書かれてはいませんが、余裕があれば寄付しましょう。
本記事では、このPaladinを使ってフォレンジック調査対象機器のディスクイメージを保全する方法について取り上げます。
C.A.IN.E.とTsurugiでの保全についても過去取り上げています。
Paladinも同じくUbuntuベースのOSです。
壁紙がかっこいいけどロゴが多い。
起動
本記事では Paladin LTS 8.05 を使います。
ダウンロードしたらハッシュ値をチェックしましょう。
› certutil -hashfile carbon-paladin-8.05.iso sha1
SHA1 hash of carbon-paladin-8.05.iso:
cb0de1883ac5ecb6165e2e96b8fd18bed9a159a8
CertUtil: -hashfile command completed successfully.
保全手順
本手順では保全対象のディスクイメージとして msuhanov/ntfs-samples/ntfs.raw を使ってます。
下準備
まずはタイムゾーンをJSTに合わせます。また、保全の際に実施した操作と時刻を記録しておきしょう。
このあたりは、デジタルフォレンジック研究会が公開している 「証拠保全ガイドライン」 が詳しいです。
ディスクのマウント
Paladinでは、Paladin ToolBoxという統合ツールで一連の操作ができます。
単純なパーティショニングやイメージングだけでなく、イメージの変換やカービングもできるみたい。マジかよ。
保全対象よりも大きなディスク(100GB) を接続してフォーマット、マウントしておきます。ボタンポチポチでいける。保全対象はマウントしなくてよい。
保全
保全対象は /dev/sdb 、保全先は /dev/sda1です。
サイドメニューのImagerをクリックしてイメージタイプとかを設定する。形式は5種類と豊富。
dd(RAW), EWF(E01), EWF2(Ex01), SMART(S01), DMG(dmg)
E01の場合、圧縮レベルは3種類から選べる。わかりやすくてよい。
None, Fast, Best
選んだらStartを押しましょう。
終わるとログが表示される。
確認
保全が終了すると、指定したディスクに .E01 形式のファイルと各種ログが保全されていることが確認できます。
paladin.complete.logを見ればイメージのハッシュ値などが記録されています。
デフォルトでMD5とSHA1が計算される模様。
CFTTにもちゃんとPaladinの記載があり、検証結果が公開されています。
おわりに
Paladinを使うことで、完全にGUIのみでディスクの保全ができました。
Tsurugi Linux, C.A.IN.E.と比較すると統合ツール的なのがあるのでいいですね。
macOS用のフォレンジック用途に使われているイメージはあったのですが、実際使ってみると色々できそうで面白いです。
商用のツールやデバイスも色々売っているので予算がつくならかなりいい選択肢だと思います。
おしまい
Discussion