フォレンジック向けLinux「Tsurugi Linux」を用いたディスク保全
概要
Tsurugi Linux はフォレンジック目的に調整されたLinuxディストリビューションです。
Tsurugi Acquire(軽量な保全用エディション)と Tsurugi Linux[LAB] (多くのツールが搭載された調査用エディション) の2種類があります。
本記事では、このTsurugiを使ってフォレンジック調査対象機器のディスクイメージを保全する方法について取り上げます。
別記事にて、C.A.IN.E.とPaladinでの保全についても取り上げています。
ちなみに、C.A.IN.E.やPaladinと同じくTsurugiもUbuntuベースのOSです。
起動
本記事では Tsurugi Acquire 2021.1 を使います。
ダウンロードしたらハッシュ値をチェックしましょう。
› certutil -hashfile tsurugi_acquire_2021.1.iso sha512
SHA512 hash of tsurugi_acquire_2021.1.iso:
bd5488e9e75bbcbc6560d166031e84c70bf19c1b9db6f872df99212fef110296c3e7735e39bdee533aaaa92a64e1096fb674b1d45dd4c88cde280442737d77fe
CertUtil: -hashfile command completed successfully.
保全手順
本手順では保全対象のディスクイメージとして msuhanov/ntfs-samples/ntfs.raw を使ってます。
下準備
まずはタイムゾーンをJSTに合わせます。また、保全の際に実施した操作と時刻を記録しておきしょう。
このあたりは、デジタルフォレンジック研究会が公開している 「証拠保全ガイドライン」 が詳しいです。
ディスクのマウント
Tsurugi Acquireでは、デフォルトですべてのデバイスがreadonlyになっています。
デスクトップのTsurugi Device Unlockerを開いて「Unlock」ボタンを押下すると対象のデバイスをwritableにすることができます。
一度unlockしたものはreadonlyに戻せないっぽいので注意。
イメージの保全先ディスクも用意しておきましょう。
保全イメージよりも大きなディスク(100GB) を用意してUnlock、パーティショニングとフォーマットもしておきます。
スクショではコマンドでやってるけどGpartedが入ってるのでそっちでもOK。
Tsurugi Device Unlockerで「Advanced」をクリックするとパーティションごとに設定可能です。
保全
Guymager を使ってイメージの保全を行います。ここで保全対象は /dev/sdb 、保全先は /dev/sda1です。
保全対象の /dev/sdb を右クリックしてAcquire imageを選択
保存先以外はデフォルトです。E01形式で、2GBごとに分割保存される設定です。
Split sizeから分割サイズを変えたり、Hash calculation / verificationからハッシュ計算設定をいじってもOK。
仕事で使うなら2種類以上のハッシュ値を算出しておくのがよい。
このあたりも 「証拠保全ガイドライン」 が参考になる。
Startを押すとディスクの保全が開始され、Progressが表示されています。
確認
保全が終了すると、指定したディスクに .E01 形式のファイルと .info 形式のファイルが保全されていることが確認できます。
.infoファイルには保全に利用したGuymagerのバージョンや詳細情報、保全したイメージのハッシュ値などが記録されています。
おわりに
Tsurugi Linuxを使うことで、GUIで簡単にディスクの保全ができました。
C.A.IN.E.と比較すると、ディスクごとにUnlockを切り替えられるのは良さげポイントです。
開発者のGiovanniさんがAVTokyoで講演したということもあり、国内でのTsurugi Linuxの知名度は高いと思います。Linux環境でディスク保全したいけどよくわからんというならこれを使っておけば間違いない。
余談ですが、拙作がTsurugi Linux[LAB]にデフォでインストールされているので個人的に応援しています。あんまりメンテしてないのでいつ消えるか怖い
おしまい
Discussion