LoginSignup
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@gpmrh096

データの取得と複製 Linux フォレンジック ワークステーションにイメージをマウントする

Last updated at Posted at 2023-09-02

◆目的
Linux ワークステーションはさまざまなファイル システムをサポートし、フォレンジック調査の実施に役立つ高度なツールを備えています。

フォレンジック イメージ ファイルは、イメージ ファイル内に存在するファイル/フォルダーにアクセスして分析するためにドライブにマウントされます。

目的は、Linux フォレンジック ワークステーションにイメージ ファイルをマウントする方法を理解できるようにすることです。

  • mount コマンドを使用して dd イメージ ファイルをマウントします。
  • ループデバイスを使用して dd イメージファイルをマウントする

◆概要
Linux フォレンジック ワークステーションにイメージ ファイルをマウントする方法を説明します。

◆前提
E01 イメージを dd イメージに変換する方法について説明しました。この変換されたイメージをマウントしてその内容を表示する方法を見ていきます。

1.
ランチャー パネルから[ターミナル]アイコンをクリックして、コマンド ライン ターミナルを起動します。
image.png

2.
コマンドラインターミナルが起動します。アプリケーションをインストールするには、端末の root 権限が必要です。

したがって、sudo suと入力してEnterを押します。パスワードの入力を求められます。パスワードとして「toor 」と入力し、 Enterを押します。

ここで、次のスクリーンショットに示すように、ルート端末に入ります。
image.png

3,
Ubuntu フォレンジック仮想マシンをシャットダウンしておらず、Windows_Evidence_001.ddファイルがまだDocumentsディレクトリにマウントされている場合は、5へ

4,
マシンを再起動するとマウントされたイメージが消えるため、xmount を使用して E01 ファイルを再度変換してマウントする必要があります。したがって、「 xmount --in ewf Windows_Evidence_001.E01 /home/jason/Documents 」と入力し、 Enterを押します。このコマンドはファイルを変換し、Documentsフォルダーにマウントします。
image.png

5,
次のスクリーンショットに示すように、Windows_Evidence_001.ddファイルがDocumentsディレクトリに表示されます。
image.png

6,
次に、このイメージをマウントします。このラボでは、 /mntディレクトリ内にddという名前のディレクトリを作成し、このディレクトリにイメージをマウントします。

7,
ディレクトリを作成するには、コマンドmkdir /mnt/ddを発行します。
image.png

8,
/home/jason/Documents/にあるイメージを読み取り専用モードで/mnt/ddにマウントするには、コマンドmount -o ro /home/jason/Documents/Windows_Evidence_001.dd /mnt/dd/ を入力し、Enterを押します。
image.png

9,
これで、イメージが dd ディレクトリに正常にマウントされました。コマンド ライン ターミナルからイメージの内容を表示するには、「ls -la /mnt/dd/」と入力し、 Enterを押します。
これで、イメージが dd ディレクトリに正常にマウントされました。コマンド ライン ターミナルからイメージの内容を表示するには、「ls -la /mnt/dd/」と入力し、 Enterを押します。
image.png

10,
これらのファイルをファイル マネージャーで表示するには、[ランチャー]パネルの[ファイル]アイコンをクリックしてファイル マネージャーを起動します。
image.png

11,
ファイルマネージャーウィンドウが表示され、ホームディレクトリが表示されます。左側のペインで「コンピュータ」をクリックします。
image.png

12,
次に、ディレクトリmnt --> ddに移動して、ファイルを表示します。
image.png

13,
次のタスクは、 Apple File Systemを含む dd イメージをマウントすることです。

タスクを開始するには、共有ディレクトリchfi-tools/Evidence Files/Forensic Imagesに移動し、MAC_Evidence_001.ddをコピーします。
image.png

14,
画像ファイルをホームフォルダーに貼り付けます。
image.png

15,
次に、ループデバイスにイメージをアタッチしてマウントします。接続する前に、空きループ デバイスを見つける必要があります。

clearコマンドを発行して端末画面をクリアし、次のステップに進みます。

16,
losetup -fコマンドは、最初の未使用のループ デバイスを特定するのに役立ちます。したがって、未使用のループ デバイスを表示するには、このコマンドを発行します。

出力で返される未使用のループ デバイスは、ラボ環境によって異なる場合があります。
image.png

17,
今回は、 loop1 を未使用のデバイスとして検討します。イメージをループデバイスに添付するには、コマンドラインターミナルに「losetup -r /dev/loop1 MAC_Evidence_001.dd」と入力し、 Enterを押します。

これにより、イメージ ファイル ( MAC_Evidence_001.dd ) がループ デバイスloop1にマウントされます。
image.png

28,
マウントされたイメージ ( 「証拠イメージ」という名前) は、ランチャー パネルに表示されます。
image.png

29、
次のスクリーンショットに示すように、マウント アイコンをクリックすると、イメージ ファイルの内容を含む証拠イメージフォルダーが表示されます。
image.png

30,
場合によっては、画像に隠しファイルやフォルダーが含まれる場合があります。それらを表示するには、キーボードのCtrl+Hを押します。
image.png

31,
このようにして、 mount コマンドとlosetupコマンドを使用してイメージ ファイルをマウントできます。これらの画像は調査の基礎を形成し、調査に関連する重要な洞察を得るのに役立ちます。

開いているウィンドウをすべて閉じます。

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?