共计 1538 个字符,预计需要花费 4 分钟才能阅读完成。
| 导读 | Tsurugi Linux 是一个基于 Ubuntu Linux 的数字取证和事件响应(DFIR)开源项目。本文介绍了如何将该发行版用作操作系统上的虚拟机。 |
数字取证和事件响应是两种互补的活动,不仅需要深入了解操作系统和互联网,还需要大量工具,这取决于要实现的目标。一位调查员可能只想从以取证手段获取的硬驱中恢复文件,另一位调查员可能想要全面分析系统,检查有关系统的多项内容。Tsurugi Linux 支持所有这些操作。
Tsurugi Linux 有不同的版本:
用于完整实时使用或安装的标准发行版。
随时可以安装在主机操作系统上的虚拟机,无论您使用 Windows、Mac 还是 Linux。
更轻盈的 32 位版本,专用于仅进行实时磁盘获取。
便携式取证工具包,旨在帮助执行实时调查。
这种发行版的主要用途是用作专用于运行所有所需调查的虚拟机。因此,本文介绍如何以这种方式使用它。
除了运行 Windows、Mac 或 Linux 操作系统的计算机外,还需要虚拟化软件。我们选择了 VirtualBox,因为它是一款非常流行、易于使用的开源软件。
您还需要通过下载页面上的其中一个镜像下载 Tsurugi Linux 的虚拟设备。选择页面上的一个镜像,开始下载后缀名为.ova 的文件 (下图)。
打开 VirtualBox,选择“文件 / 导入设备”,然后选择刚下载的本地虚拟设备文件 (下图)。
点击“下一步”然后点击“导入”,阅读并接受软件许可协议。虚拟设备正在安装中 (下图)。
在 VirtualBox 中选择 Tsurugi 虚拟机,然后点击“开始”。虚拟机启动,并显示默认用户 tsurugi 的登录页面 (下图)。
输入默认密码 tsurugi。Linux 发行版现已准备就绪。
现在是安装 VirtualBox Guest Additions 的时候了,这让虚拟机可以全屏运行,在主机和访客计算机之间共享剪贴板或文件夹,并提高性能。
在 VirtualBox 中选择“设备 / 插入 Guest Additions CD 映像”。出现了 CD 图标,以 VirtualBox Guest Additions 版本命名 (下图)。
双击 CD,然后鼠标右击 VBoxLinuxAdditions.run,选择“以管理员身份运行”(下图)。
安装运行后,重启虚拟机,享受添加访客的虚拟机所带来的舒适 (下图)。
Tsurugi Linux 基于著名的 Ubuntu LTS 发行版 (64 位),带有打过补丁的内核,实现了几项有意思的功能。
内核写入拦截器
默认情况下,连接到系统的所有设备都以只读模式挂载。如果调查人员想要在他或她不想以任何方式改变的设备上进行分析,这是一项必不可少的功能,因此可以保留设备上的所有证据。
OSINT 配置文件切换器
从桌面双击即可激活此功能,并在两个不同的用户配置文件之间切换:一个配置文件用于数字取证和事件响应,第二个用于开源情报用途。
数百个 DFIR 工具
在 Tsurugi Linux 中,DFIR 工具以巧妙的方式加以分类,因此任何研究人员或学者都可以轻松找到适合其目的的适当工具 (下图)。
对于任何想要在单一发行版中拥有所需一切功能的 DFIR 专业人士来说,Tsurugi Linux 发行版展示了出色的功能。对于在学习或研究期间可能想要核查多个 DFIR 或 OSINT 工具的学者和学生来说,它也可能是一种选择。
除了标准的 Tsurugi Linux 发行版外,为实时磁盘获取而开发的轻量版本也可能会让 DFIR 专业人士感兴趣,因为它允许以合理的方式获取不同的设备,并在不改动复制设备的情况下保存证据。
