前から気になっていたDEFT Linuxをついぞインストールしてみたので、このエントリにそのプロセスを書き記しておきます。CTFのフォレンジック分野で使えるツールがあれば面白いんですがどうでしょうか。(まだ使っていない)
注・・・英語のマニュアルを読みながら一部想像も含めてこのエントリを書いているので、やってみる方は自己責任でお願いします。ガチのフォレンジック勢がこのエントリを参考にするとは思えないんですが、一応念のため保身のため。
もくじ
DEFT Linuxってなんやねん
概要
デジタルフォレンジックに特化したLinuxディストリビューションです。2005年に初公開されたディストリビューションのようです。2017年2月にDEFT ZeroというUSBに入れる軽量版がリリースされていますのでコミュニティ自体は活動をしていますが、インストール版のisoとして公開されているのは2014年公開の8.2を最後に新バージョンとしてリリースはされていない模様。
公式HP:DEFT Linux - Computer Forensics live CD |
マニュアル:http://www.deftlinux.net/doc/EN-deft7.pdf
DEFT LinuxはGnu LinuxとDARTというツールキットで構成されているようです。前者のLinuxはDEFT Linuxそのものを指しており、後者のDARTはWindows(32bit)環境で動作する解析ツールキットです。Linux上でもwineで動作するみたいです。有名どころというか私が使ったことのあるツールではFTK Imagerなんかが入っています。
使う分には関係ないですが、出自としてはイタリアのボローニャ大学の法律関連コースで使われたものだとか。公式HPでは英語とイタリア語に対応しています。ちなみに本体はUbuntuベースのOSで、インストールから日本語対応です。ibusをセットアップすれば日本語入力も可能でした。
特徴
特徴は前述のとおり、デジタルフォレンジックに特化したディストリビューションである点です。マニュアルの1.2章に「なぜデジタルフォレンジックにDEFTが使われるのか」という項に特徴が書いてありました。
1.動作中にスワップ領域を使わない
2.起動シーケンスで自動的にマウントされるスクリプトは無い
3.証拠の解析中にあらゆる動作のための自動化されたシステムは無い
4.全てのストレージとネットワークトラフィック取得ツールは要求されたデータを変更しない
自力で和訳しているので厳密に知りたい方はマニュアルを参照されたし。
最初はどういう意図でこんな特徴があるのか理解できませんでしたが、よくよく考えるとDEFTはフォレンジック用途で使われるので、「よくわからないけどLinuxが勝手に書き換えた」みたいなことは許されないんでしょうね。法律的な証拠能力を無くさないために配慮して設計されてますよと。もう一つ、たぶんDEFTは調査対象のPCにUSBを刺して起動することを想定して作ってあるのだと思いました。こう考えるとスワップ領域を使わないことも理解できる。きっとそうだ。
インストール環境
本来の用途に合わせるとUSBにぶっこむのが正道なんでしょうが、今回はCTFに使えるかしらと思ってのインストールなので、お手軽にVMPlayerで動作させます。
ホスト
OS:Windows10 Home
CPU:Core i5-5200U
メモリ:8GB
仮想化ソフト:VMware(R) Workstation 12 Player(12.5.5 build-5234757)
DEFT Linux:バージョン8.2
イメージファイル:deft-8.2.iso
インストール
まずはオフィシャルHPからダウンロードミラーに飛んで最新のisoイメージをダウンロード。と言っても8.2は2014年8月に最終更新なので、やっぱりUSBで使うZEROを使えってことなんですかね。
あとダウンロードは色々と怖いことが起こりえるので、ちゃんとハッシュ値の確認をする。公表されている値と一致しているので問題なし。
ウィルススキャンもしておこうかしらとWindows Defenderでスキャンしたところ、11個引っかかったので一応貼っておきます。
HackToolってことはグレているけど犯罪者(ウィルス)ではないと判断し続行。
VMPlayerを起動して新しい仮想マシンをイメージファイルから作成する。VMPlayerは後からISOをマウントして起動しないと動かないOSもありますが、DEFTは普通に仮想マシン作成段階でISOを指定して大丈夫でした。
ゲストOSの選択は「Linux」、バージョンは「Ubuntu」で進めました。
インストール時の割り当てリソースはほぼデフォルト値で以下。
一応バージョン7のマニュアルには最小と適正値が載っています。
(4.6 INSTALLING LINUX DEFT7)メモリは128MB/2GB、ディスクは20GB/500GB
今回の目的は動かすことだけですが、念のためディスクを20GBから30GBに増やしました。
で仮想マシンが定義できたら、早速起動。
おぉ結構カッコイイ!KaliにしてもLinuxディストリビューションってカッコよく見えますよね。
マニュアルによると「F6」を押下すると、カーネルパラメータをいじれるみたいです。Mac Book Airで直接動かすときはビデオドライバの関係で一部設定しないといけないみたいです。私はVMPlayerで動かしているので関係ないですが。
今回はVM基盤上にインストールするので、「Install DEFT Linux8」を選択。
最初はインストール言語の設定。まぁ日本語で進めます。
次はインストールオプションとしてサードパーティ製のソフトウェアをどうしますか?という設定で、あとから諸々入れるのは面倒なので、上のチェックだけつけました。この辺はお好みで。
ディスクのセットアップですね。ディスク周りは苦手なのでとりあえずデフォルトの「全体を使う」で。Ubuntu系はKali Linuxしか入れてみたことないですが、似てますね。当たり前か。
インストールを押すと自動的にファイルシステムの作成まで動いてくれます。
次はタイムゾーンの設定。インストール言語の設定を引っ張って自動的に適切なところを選んでくれています。
キーボードも同じく日本語を選んでくれています。変種のところはプルダウンに日本語(Mac)の選択肢があったので、MACに直接インストールする人は変更が必要っぽいです。
ユーザ情報の設定
あとは待ち。私は仮想マシンに1CPU、1GBのリソースを振っていましたが、40分くらいかかりました。
これが出たら完了。遠慮なく「今すぐ再起動する」
再起動ボタンを押してから目を離していたのでわからないですが、たぶんシャットダウンシーケンスの中で以下の画面で止まります。止まっているようには見えないですが、止まっています。優しく「Enter」を押下。
で、無事再起動後にシステムが上がってきたら素直な心でログイン。
起動後にFlash Playerが見つからないだとか、PostgreSQLがエラー吐いてるぜとか合計5個くらいのエラーがGUI上に出てきましたが、まぁ使うときに対処すればよいでしょうと思いとりあえずはOKとする。
日本語入力
インストール後、表示は日本語になっていますが日本語入力はできないですね。私はたぶん使わないですが、フォレンジックしてみたい勢は何かと操作ログや送受信ファイルを日本語で検索すると思うので、やってみました。というよりUbuntu系と同じです。
上記を参考に、以下の3コマンドを実行。
sudo apt-get install ibus-mozc
killall ibus-daemon
ibus-daemon -d -x &
シェル上で「半角/全角キー」を押下したら日本語入力ができました。
まとめ・所感
今回は前から気になっていたDEFT Linuxを入れてみました。調べてみると、isoで公開されている最新の8.2は2014年公開なので若干古いですが(まだ中身までは見ていません)、Windows向けツールのDARTとForensicツールがいっぱい入っているので出来ることは色々ありそうな感じがします。
冒頭で書いている通り、CTFのForensic分野で使えるツールがあると面白いんですが、それは今後使ってみる中で何かあればまたまとめを書いてみたいと思います。
おわり