法医学研究:使用するOS
私は自分の学校から課題を与えられました。その際、侵害されたシステムの仮想イメージが与えられました。最初に行う必要があるのは、イメージをマウントできる環境をセットアップすることです。 OSを選択する必要があるのですが、「何を選択すればよいのですか、なぜですか?」誰かが私が気を付けるべきポインタを私に与えることができれば、それは大いに感謝します!ありがとう
Kali Linux を選びます。
このLinuxディストリビューションは、侵入テストとセキュリティ分析のために作成されています。メインメニューには、非常に多くの分析ツールが含まれています。
一般的に、セキュリティ関連の作業にはオープンソースOSを使用します。なぜなら、オープンソースには、ツール自体が危険にさらされていないという公衆の監視があるからです。
SANSシフトキット/ワークステーション( http://digital-forensics.sans.org/community/downloads )は、解剖学や一般的に使用されている他のオープンソースツール。少し余分: http://www.forensicswiki.org/wiki/Main_Page このページは、物事に慣れてきているときに多くのことを助けます。
大学時代は、Backtrack Linux a LOTを使っていました。多くのフォレンジック(およびライブフォレンジック)ツールがプリインストールされており、これらの目的で使用するように設計されています(ただし、悪意のあるハッキングや疑わしい牛のティッパーのスパイなどで最も有名です)。
選択するツールによって異なります。 Autopsyなどのフォレンジックツールは、いくつかの異なるオペレーティングシステムで実行できます。彼らはあなたが与えられた画像のファイルシステムを解析し、ファイルの内容を表示することができます。このようなツールがJavaで記述されている場合は、Windows、Mac、またはLinuxで実行できます。
科学捜査では、必ずしもイメージからソフトウェアを「実行」しようとしているわけではありません。多くの場合、単にシステムから収集したファイルを見て、ファイルの内容、最終アクセス時刻などのファイルシステムの属性、作成者IDなどに基づいて何が起こったかをまとめます。ファイルシステムをOSとそれらのファイルにアクセスしたプログラムを実行すると、あなた自身の調査活動は明らかにあなたが明らかにしようとしている非常に手がかりを隠すでしょう。
しかし、多くの選択肢がない場合もあります。 foo.docxという名前のファイルを見つけた場合、単純なテキストエディターではほとんど表示されず、Wordを使用して表示する必要がある可能性があります。これにより別の問題が発生します。調査しようとしているファイルにウイルスが含まれている場合はどうなりますか?コンピューターのWordでそれを開くと、対象のコンピューターイメージとまったく同じ問題が発生する可能性があります。その場合、仮想マシンをサンドボックスとして使用する方法を学ぶ必要があります。
Linuxに慣れている場合は、CaineまたはDeftの使用を検討してください。
どちらもフォレンジック用のディストロです。つまり、デフォルトでは、ファイルシステムの自動マウントやスワップのアクティブ化など、データを変更する可能性のあることは何もしません。
彼らはまた、仕事に役立つツールをたくさん含んでいます。