@port139 Blog

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

E0形式の証拠ファイル(Linuxイメージ)へchkrootkitを実施する手順

E0形式で保全されたディスクイメージ(中身はLinuxシステム)に対して、chkrootkitをかけてみたいなぁという場合の手順

(1)VMware(ゲストOS)に適当なLinuxをインストールする
例えば Fedora5 をゲストOSとしてインストール
※ゲストOSインストール時、インターフェイスSCSIを利用するように構築しておく
(2)VMwareのゲストOSな Linuxchkrootkit の最新版を make
(3)chkrootkit の実行が可能なことを確認し、VMwareを終了
(4)EnCase上で、E0形式の証拠ファイル*1を、PDE モジュール*2を使い物理ディスクとしてマウントする
(5)VMware を起動*3
(6)VMware 上の Linux に以下の手順でHDDを追加

  1. Edit virtual machine settings をクリック
  2. Add...からNextで、Hard Disk を選択肢 Next
  3. Use a physical disk (for advanced users)を選択し Next
  4. Deviceのプルダウンメニューから、PDEでマウントした仮想物理ディスクのデバイス番号を指定する*4
  5. Use entire disk を選択し Next
  6. 完了をクリック

(7)VMwareのゲストOSを起動
(8)PDEでマウントした物理ディスク上のパーティションを、ゲストOSからリードオンリーでマウントする
(9)マウントした領域に対してchkrootkitを-rオプションと共に実行する*5

なぜこんなことするか?と不思議かもですが、オフライン状態でchkrootkitを実行することでより確実性を高めたいって面もあったりしますが、E0 を dd に変換するの面倒だったという面もあるです。つーか、HELIXであげて実行しても同じです(笑)

*1:調査対象とするLinuxのHDD イメージ

*2:EnCaseの追加モジュールで、ディスクイメージを仮想的に物理ディスクとしてWindowsに認識させることが可能になる

*3:PDEにより追加された仮想物理ディスクを認識させる為、VMware そのものを再起動したほうがよい

*4:手元で試した感じでは、この時どうもSCSIとしてしか認識できないようで、ゲストOSにSCSIインターフェイスが認識されていないとちょっと困るわけです、手動でロードしてもいいと思いますが...

*5:詳細は「不正アクセス調査ガイド」を参照してください、とか書いてみる