E0形式で保全されたディスクイメージ(中身はLinuxシステム)に対して、chkrootkitをかけてみたいなぁという場合の手順
(1)VMware(ゲストOS)に適当なLinuxをインストールする
例えば Fedora5 をゲストOSとしてインストール
※ゲストOSインストール時、インターフェイスは SCSIを利用するように構築しておく
(2)VMwareのゲストOSな Linux で chkrootkit の最新版を make
(3)chkrootkit の実行が可能なことを確認し、VMwareを終了
(4)EnCase上で、E0形式の証拠ファイル*1を、PDE モジュール*2を使い物理ディスクとしてマウントする
(5)VMware を起動*3
(6)VMware 上の Linux に以下の手順でHDDを追加
- Edit virtual machine settings をクリック
- Add...からNextで、Hard Disk を選択肢 Next
- Use a physical disk (for advanced users)を選択し Next
- Deviceのプルダウンメニューから、PDEでマウントした仮想物理ディスクのデバイス番号を指定する*4
- Use entire disk を選択し Next
- 完了をクリック
(7)VMwareのゲストOSを起動
(8)PDEでマウントした物理ディスク上のパーティションを、ゲストOSからリードオンリーでマウントする
(9)マウントした領域に対してchkrootkitを-rオプションと共に実行する*5
なぜこんなことするか?と不思議かもですが、オフライン状態でchkrootkitを実行することでより確実性を高めたいって面もあったりしますが、E0 を dd に変換するの面倒だったという面もあるです。つーか、HELIXであげて実行しても同じです(笑)