2010-07-09
■SIFT環境
オープンソースなどのフォレンジックツール類一式を、一つのVMwareの仮想環境にまとめた SANS Investigative Forensic Toolkit (SIFT) Workstation というものが SANS から提供されています。ベースは Ubuntu ですが、VMware 環境があれば簡単に利用することができ、The SleuthKit & Autopsy や PTK など、ファイルシステム・フォレンジック系のツールや、メモリ・フォレンジック用のThe volatility framework などが、プラグインも含めてすでに設定済みになっているとても便利な環境です。
オープンソースなどのツールを一つずつダウンロードやらコンパイルやらする必要がなく、仮想環境ですから、間違って何かの操作をしてもスナップショットを使えば修復が簡単です。ちょっとコンピュータ・フォレンジックなるものを試したい“なんちゃってフォレンジック”とか、CTFのフォレンジック分野な問題をさくさく解きたい!?とかでも活躍してくれると思います。
SANS Investigative Forensic Toolkit (SIFT) Workstation: Version 2.0
私は残念ながら受講したことがないのですが、Computer Forensic Investigations and Incident Response course (FOR 508) という由緒正しいトレーニングコースで使っている教材?なんですかね。
ダウンロードには(無料)登録が必要ですが、登録すれば VMware のゲストOSイメージをダウンロードすることができます。手元では VMware Workstaion 7 を使っていますが、そこそこ重いのでそれなりの CPU とメモリ搭載環境で実行した方がよいと思います。
基本的にはダウンロードしてきた ZIP ファイルを展開して、VMware から起動すれば OK なんですが、ログオンパスワードなどの情報は上記 Web の Basic Configuration Information のところに書いてあります。Web の記載事項をよく読まずにダウンロード&実行して、パスワード知らないんだけど!?と適当なパスワードを叩きまくったのは内緒です。マニュアルを先に確認しておくのは大切ですね ;-)
デフォルトでは sansforensics というアカウントが設定されてますので、そのアカウントでログオンすればなかなか格好良い壁紙の環境がでてきます。燦然と輝く Rob Lee 氏のお名前!!
■SIFTで日本語環境
画面は(当然のことながら)英語環境になっています、そのまま使っても特には困らないかもしれません。例えば Autopsy で日本語ファイル名を含む FAT/NTFS イメージを解析とかしても、Firefox 上ではちゃんと表示するはずなので、あえて日本語環境に変更する必要はないかもしれません。最近は『社内公用語を英語に!』ってお話もありますので、楽天の人はきっと英語版のまま使うんでしょうけど、私のように英語解釈機能がない人的リソースについては、慣れている日本語の方がすんなりといけるのではないかと思ってます。
とりあえず画面は英語で使うにしても、キーボードのレイアウトがデフォルトでは USA になっているので、日本語キーボードへ変更はしておきたいところですかね。
あと、Autopsy ではファイル名による検索が可能ですが、日本語ファイル名を検索したりする時には、日本語を入力したくなります。たぶん、日本語入力に必要なパッケージを追加して設定するだけだとは思いますが、Linux 音痴な私はとりあえずまるっと日本語環境にすべく、下記のページを参考に“Japanese Teamによる追加パッケージ”をがっつりインストール。
インストールは上記 Web に書いてある通りに一通りコマンドを実行していくだけで完了です。言語設定を日本語に変更してあげれば、メニューなどが日本語になります(感謝感謝)。
一点、注意点として日本語環境にすると、Desktop などを“デスクトップ”とかに変更するか聞かれるのですが、これは変更せずそのままにしておいた方が便利かもしれません。フォルダを移動するときにいちいち日本語入力に切り替えたりするのは面倒そうです。というか、何も考えずに Yes って押してしまったので、後からちょっと後悔したわけです。
■Windows環境とのファイル共有
ゲストOSからホストOSの共有を有効にしてあげれば、ゲスト上の SIFT WS からホスト OS のフォルダへアクセスが可能です。手元では Windows がホスト OS になっているので、Windows の許可したフォルダに対して SIFT からアクセスが可能です。ネットワーク共有を使う方法もありますが、ローカルにあるファイルを取り扱いのであれば、VMの共有フォルダを使う方が簡単ですね。日本語のファイル名なども、特に意識せずにそのまま取り扱うことが可能です。
■Autopsyの画像アイコンだけ日本語化
SIFT には TSK,PTK, PyFLAG などのファイルシステム・フォレンジックツールが入っていますが、Autopsy については、ちょっと内容古いですけど、もとのぶ先生が HELP を日本語に翻訳して下記 URL で公開されてます。
表示しているメッセージなどを全て日本語化するのは大変そうですが、メニュー表示に使っているアイコン画像みたいなのは、画像を塗りつぶして日本語文字列に入れ替えれば日本語化が可能です。既存の画像を塗りつぶして日本語を貼り付け、画像を塗りつぶして画像を貼り付け....画像を塗りつぶして画像を貼り付け...
日本語にすると、文字が小さくて見にくいという気がしないでもないですけど、とりあえず見た目の雰囲気としては日本語版 Autopsy っぽくなりましたかね。
本質的にはデータの取り扱いとして日本語テキストの表示や検索をできるようにするのが日本語化というか、ツールとしては期待される方向なのかもしれませんけど>多言語対応
今の時点では、日本語というか多言語などをまともに扱いたいのであれば、EnCase なりの商用製品を購入しないと駄目でしょうね(という暴言を吐いてみる)。この辺りについては追々。
■Autopsy画面上での日本語入力
アイコンも日本語化したし、TSK&Autopsy はデフォルトで FAT/NTFS の日本語ファイル名を扱えるのでばっちり!とか思っていたら、Autopsy 画面上の File Name Seach で日本語が入力できないのを発見。gedit などでは日本語入力に切り替わるのですが、なぜが Autopsy が登録してあるランチャーから起動された Firefox 上では日本語入力に切り替わらない。
Autopsy の起動スクリプト(/usr/local/bin/autopsy_start)の中身を確認してみると、Autopsy を起動後、firefox を sudo で呼んでいるのが原因のご様子。
#!/bin/bash
sudo /usr/local/src/autopsy/autopsy -C &
sleep 1
sudo /usr/bin/firefox http://localhost:9999/autopsy &
Firefox の起動に使っている sudo を削ると問題なく日本語入力可能になるんですけど、Autopsy へ接続するブラウザ(Firefox)を sudo で呼び出す必要性がよくわかりません。何か理由があるんでしょうかね?
とりあえず動けばいいやと sudo を削って firefox を起動していますが今のところ特に不便なところはないです。
