Autopsy の実験

Hacker Japan 2010 -11 を参考に、
デジタル鑑識の勉強をしてみました

今回、使用したのは
Backtrack4 に収録されている
Autopsy を使ってみました
このツールを使いこなすことができれば、ディスク解析ができるようです
まずは、VMwarePlayer にインストールしておいた
backtrack 4 を起動します
起動したあとに
ユーザを
root
パスワードを
toor
で起動します
そのままだと、コンソール画面のままなので
startx
でGUIに切り替えます
今回使用するAutopsy を起動するには
画面の左下の端末のアイコンをクリックし
Konsole を立ち上げます
ここで
/usr/bin/autopsy
とすれば
起動しますので
次に firefox を起動し
URL へ
http://localhost:9999/autopsy
と入力します
今回は、実験の練習用のデータが付録DVDに
ついていましたので、
これを使いました
DVDを入れたものの オートマウントではないためか
ディスクが表示されないので、
必要なファイルをいったんゲストOSの fedora 13 へ
ダウンロードし、そこから scp で転送しようとしたものの
ssh server が入っていないようで
この方法は無理でした
このため、 firefox で
File > Open File

cdrom0
の中から
index.html
をクリックし
そこからダウンロードしました
今回、実験につかったのは
8-jpeg-search.zip
です
これを
/root

ダウンロードして
unzip 8-jpeg-search.zip
で解凍します
これで下準備はOKです
再び、Autopsy の画面に戻って
最初に、まずは ケースを追加します
これには
New Case
をクリックします
次の設定画面 CREATE A NEW CASE

Case Name  には
雑誌にあるように、
hj_case_001
Description には
ex01 for Hj
Investigator Names には
Traininguch
として
NEW CASE をクリックします
おそらく、ここは任意の名前でよいのだと思います
この次の 画面では
ADD HOST
をクリックします
(前回、作ったことがある場合のみ、この画面がでるのかもしれませんが)
次に ADD A NEW HOST の画面では
特に変更はしません
そのまま ADD HOST をクリックします
次に、もし
No images have been added to this hot yet
Select the Add Image File button below to add one
というメッセージがでたら
ADD IMAGE FILE をクリックします
(これも2回め以降はでるかもしれません
 もしでないのなら、そのまま次の画面がでます)
ADD A NEW IMAGE の画面になったら
Location
のところへ、解析を行うファイルのパスを記述します
今回は root の下に展開した jpeg-search/8-jpeg-search.dd
を解析対象にしているので
/root/jpeg-search/8-jpeg-search.dd
とします
次に、TYpe のラジオボタンが Disk になっていますが
Partition の方を選択します
ここまで行ったら
NEXT をクリック
Image File Details の画面になりますが
ここは何も変更せず、
下にある ADD をクリックし、先に進みます
これで、解析するための登録が完了になります