|
Введение
Кратко о дистрибутиве https://forum.antichat.xyz/attachmen...3825310738.png Tsurugi OS Acquire- версия для быстрого анализа дисков. Для углубленного анализа нужна [LAB]-версия. Цитата:
Цитата:
Интерфейс: MATE (легковесный GUI) Архитектура: x86_64 Требования: CPU: 2+ ядра, RAM: 4 ГБ Инструменты: Для анализа диска - Guymager, dc3dd, ewfacquire. История 2016-2018 Проект стартовал в 2016 году под названием "Tsurugi Linux" (в честь японского меча - символа точности). Основан на Debian, чтобы обеспечить стабильность и совместимость с инструментами. В 2017 году выпущена alpha-версия с базовым набором утилит: Autopsy, Volatility, Wireshark. 2018-2019 Для ориентации на криминалистов и специалистов по кибербезопасности, в дистрибутив добавили: Поддержка форматов E01/AFF для образов дисков, Улучшенный интерфейс XFCE. Добавлены RegRipper, Bulk Extractor для анализа артефактов Windows. Поддержка Volatility 3 (в экспериментальных сборках). 2020-2021 Появилась отдельная версия Tsurugi Linux [LAB] с инструментами для глубокого анализа malware. Переход на ядро Linux 5.x для поддержки новых файловых систем (APFS, ZFS). Автоматизация через Python-скрипты. Поддержка QEMU/KVM для виртуализации 2022-2023 Сфокусирование на DFIR, оптимизация (облегчённые Live-образы), проект стал популярен среди CERT-команд* и исследователей malware. Цитата:
Облачная версия для AWS/Azure, инструменты для анализа мобильных ОС. Скачивание образа Переходим на официальный сайт проекта Tsurugi Linux | Digital Forensics, Osint and malware analysis Linux Distribution и нажимаем кнопку "Downloads". После вам предложат LAB версию на 16gb или tsurugi acquire на 1gb. Выбираем 2 вариант, если вам нужена полноценная лаборатория, выберайте первый вариант. Запуск происходит без проблем. Обзор Имя системы, имя хоста сетевого узла, версию ядра и т.д: https://forum.antichat.xyz/attachmen...3830781564.png Информация о стандартной базовой версии Linux (Linux Standard Base или LSB): https://forum.antichat.xyz/attachmen...3830849015.png Команда для отображения и изменения имени хоста системы, а также для просмотра различных настроек системы, таких как архитектура операционной системы, режим загрузки и часовой пояс системы: https://forum.antichat.xyz/attachmen...3830916916.png Не ставим neofetch, так как здесь есть встроенная утилита для подробной информации о системе: https://forum.antichat.xyz/attachmen...3831589480.png https://forum.antichat.xyz/attachmen...3831635147.png Программы и файлы: На рабочем столе нас встречают некоторые ярлыки: Displays - ярлык для настройки монитор/ов. File Manager- файловый менеджер. Guymager - это бесплатная программа с графическим интерфейсом для создания криминалистических образов дисков и носителей. HI-DPI zoom- помогать настроить экран. Keyboard - настройщик для клавиатуры. Mouse keys switch- помогает управлять курсором с помощью клавиатуры. Onboard- экранная клавиатура. System Profiler and Benschmark - утилита для подробной информации о системе. tsurugi device unlocker - утилита предназначенная для разблокировки и доступа к защищенным носителям данных, которые могут встретиться в ходе криминалистического анализа. Естьутилиты для работы с hash'ами такие как: hashdeep, md5sum, rhash, ssdeep. Midnight Commander- Утилита на подобии консольного файлового менеджера (Total Commander). TeamViewer - программа для удалённого управления ОС. tmux - утилита позволяющая разделять окно терминала на несколько маленьких окон. GParted - Утилита для управления дисками. Сетевые утилитыпо типу: whois, tcpdump, dig, netcat. Заключение Возможно, это хороший вариант среди DFIR-дистрибутивов, действительно есть некоторые утилиты которые могут использоваться в криминалистике. Но упор всё ещё остаётся на терминальные утилиты, я имею ввиду что полноценных GUI приложений очень мало, не то чтобы это большой минус. ОС не всегда видит NVMe накопители, их придётся вручную добавлять в параметры ядра(fstab). Ваше мнение ожидаю в комментариях. Лично я советовал бы его попробовать, тем более что он не требует установки. |
| Время: 18:29 |