setodaNote

忘れる用のメモ書き for Cybersecurity

仙台CTF2017のセキュリティ技術勉強会の実習資料を Ubuntu18.04.2 で動かしてみる

仙台CTF推進プロジェクト

f:id:soji256:20190618195127p:plain:w320
仙台CTF推進プロジェクト

仙台CTF推進プロジェクトが主催する「仙台CTF」において開催されている、 「セキュリティ技術勉強会」のテキストと実習用イメージデータが公式サイトで公開されていました。

メモリフォレンジックとタイムライン解析を学ぶ内容で、講義資料、実習用のテキスト、イメージデータは上記の「仙台CTF 2017」のページからダウンロードできます。

講義資料を読み進めることで自然と実習に臨むことができるように構成されており、シナリオに沿って作業ひとつひとつが一連のインシデントレスポンスの流れになっているので、確認しながら進めるのが楽しかったです。

Ubuntu 18.04.2 で試すための環境設定

実習で使うコマンドを Ubuntu 18.04.2 でセットアップする手順は以下の通りです。 なお、実習で使うコマンドがセットアップされている Virtual Box 形式仮想マシンがテキストがあるのと同じページに用意されているので、そちらを使うほうが簡単かもしれません。

環境設定で苦労するのも含めて楽しかったりするので、あくまでご参考です。

共通

sudo apt update
sudo apt upgrade

実習1メモリフォレンジック:Volatility のセットアップ

wget http://downloads.volatilityfoundation.org/releases/2.6/volatility_2.6_lin64_standalone.zip
unzip volatility_2.6_lin64_standalone.zip
mv volatility_2.6_lin64_standalone/volatility_2.6_lin64_standalone ./vol

以下のコマンドで Volatility が使えます。

./vol

f:id:soji256:20190618202118p:plain
Volatility

実習2タイムライン解析:Plaso/log2timeline のセットアップ

sudo add-apt-repository ppa:gift/stable
sudo apt update
sudo apt-get install plaso-tools

以下のコマンドで log2timeline と psort が使えます。

log2timeline.py 
psort.py 

f:id:soji256:20190618202024p:plain
log2timeline

以上

参考資料

更新履歴

  • 2019/06/18 新規作成