Autopsy on ubuntu
ホントに動くの ?
- zip ファイルであれば最新版(現時点 4.9.1)が動きます
- GUI がなくて web サーバーモードでしか動かないという記述もあるが、Windows と同様の GUI があります。
環境
- ubuntu 18.04
- Autopsy 4.9.1
できあがり
- Windows10 からノーマル [Xming X Server for Windows] (https://ja.osdn.net/projects/sfnet_xming/) で GUI を立ち上げているためフォントがきれいに出ていません
インストール手順は下記リンクにすべてあります
手順の通りにインストールしてみます
- Download the Autopsy ZIP file.
-
Download_the_Autopsy
[yamachan@forensics ~]$ mkdir autopsy
[yamachan@forensics ~]$ cd autopsy
[yamachan@forensics autopsy]$ wget https://github.com/sleuthkit/autopsy/releases/download/autopsy-4.9.1/autopsy-4.9.1.zip
[yamachan@forensics autopsy]$ unzip autopsy-4.9.1.zip
```
2. Installing Oracle Java 8 in Ubuntu
-
Installing Oracle Java 8 in Ubuntu の通りに進めます
Installing_Oracle_Java_8_in_Ubuntu
[yamachan@forensics autopsy]$ sudo su
[sudo] yamachan のパスワード:
[root@forensics autopsy]# add-apt-repository ppa:webupd8team/java
[root@forensics autopsy]# sudo apt-get install oracle-java8-installer
```
-
ライセンスを受け入れるかと質問されるので、同意します
Installing_Oracle_Java_8_in_Ubuntu
[root@forensics autopsy]# apt update
[root@forensics autopsy]# javac -version
javac 1.8.0_191
[root@forensics autopsy]# sudo update-alternatives --config java
alternative java (/usr/bin/java を提供) には 1 個の選択肢があります。
選択肢 パス 優先度 状態
0 /usr/lib/jvm/java-8-oracle/jre/bin/java 1081 自動モード
- 1 /usr/lib/jvm/java-8-oracle/jre/bin/java 1081 手動モード
現在の選択 [*] を保持するには 、さもなければ選択肢の番号のキーを押してください: 1
[root@forensics autopsy]# vi /etc/environment
PATH="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/games:/usr/local/games"
JAVA_HOME="/usr/lib/jvm/java-8-oracle"
[root@forensics autopsy]# exit
[yamachan@forensics autopsy]$ source /etc/environment
[yamachan@forensics autopsy]$ echo $JAVA_HOME
/usr/lib/jvm/java-8-oracle
-
Linux will need The Sleuth Kit Java .deb Debian package.
Linux_will_need_The_Sleuth_Kit_Java
[yamachan@forensics autopsy]$ wget https://github.com/sleuthkit/sleuthkit/releases/download/sleuthkit-4.6.4/sleuthkit-java_4.6.4-1_amd64.deb
[yamachan@forensics autopsy]$ sudo apt install ./sleuthkit-java_4.6.4-1_amd64.deb
```
4. Install Autopsy
```shell-session:Install_Autopsy
[yamachan@forensics autopsy]$ cd autopsy-4.9.1/
[yamachan@forensics autopsy-4.9.1]$ sh unix_setup.sh
ERROR: Photorec not found, please install the testdisk package
```
-
手順には記述がありませんが、入れろと言われたので入れます
Install_testdisk
[yamachan@forensics autopsy-4.9.1]$ sudo apt install testdisk
[yamachan@forensics autopsy-4.9.1]$ sh unix_setup.sh
photorec found
Java found in /usr/lib/jvm/java-8-oracle
/usr/share/java/sleuthkit-4.6.4.jar found
Copying into the Autopsy directory
Autopsy is now configured. You can execute bin/autopsy to start it
```
- Running Autopsy
-
In a terminal, change to the ‘bin’ directory in the Autopsy folder.
Run_Autopsy
[yamachan@forensics autopsy-4.9.1]$ cd bin
[yamachan@forensics bin]$ ./autopsy
```
メインメモリが少ない(大きな)パソコンで動かすには
- Autopsy 3 Troubleshooting で解説されている
- Linux 版でも
autopsy.confは存在するので探してください。 -
上記リンク の
-J-Xmx768mが Java 仮想マシンで許可される最大メモリです。- 搭載メモリを増やしても ここを弄らないと Autopsy で使えるメモリは 増えません
- Autopsy 4.9.1 のデフォルトは
-J-Xmx4Gです。これではメインメモリ 8G でも厳しいです(下記)。 Windows10 で試してみましたが swap が起こってまともに動きませんでした
メインメモリ 8G の場合
- Autopsy 4.9.1 のデフォルトは
-J-Xmx4Gです。- メインメモリ 8G では swap が起こって耐えられないと思います。
- Xwindow を off にして(init 3 で動して)空きメモリを確保し(1G バイト程度は空くと思います)、 [Xming X Server for Windows] (https://ja.osdn.net/projects/sfnet_xming/) などを使って、他のパソコンから GUI を立ち上げる
-
-J-Xmx4G→-J-Xmx3Gとしてみる