Downloaded 50 times
![TSURUGI LINUX
OPEN SOURCE PROJECT
[What IS and what is NOT]
tsurugi-linux.org](https://image.slidesharecdn.com/tsurugilinuxavtokyo-181105045755/85/Tsurugi-Linux-AVTOKYO2018-4-320.jpg)
![TSURUGI LINUX
[ LAB ]
TSURUGI
ACQUIRE BENTO
TSURUGI LINUX project](https://image.slidesharecdn.com/tsurugilinuxavtokyo-181105045755/85/Tsurugi-Linux-AVTOKYO2018-8-320.jpg)
![$CAT TSURUGI_LINUX.TEAM
チームの紹介
tsurugi-linux.org
Marco ‘Blackmoon’ Giorgi: [@blackmoon105]
• Digital Forensics examiner and computer
forensics analyst
デジタルフォレンジック検査官かつコンピュータフォレンジック分析官
• Teacher for forensic trainings for Law
Enforcements and professionals
法執行機関、専門家向けフォレンジックトレーニング講師
• Tsurugi LAB and Tsurugi Acquire projects
Tsurugiラボ、Tsurugi Acquireプロジェクト
Davide ‘Rebus' Gabrini: [@therebus]
• Italian CSI inspector
イタリア科学捜査警部補
• BENTO developer BENTOの開発者
Giovanni 'sug4r' Rattaro](https://image.slidesharecdn.com/tsurugilinuxavtokyo-181105045755/85/Tsurugi-Linux-AVTOKYO2018-9-320.jpg)
![TSURUGI LINUX [LAB]
• For educational and/or
professional use
教育用/業務用
• DFIR / OSINT / Malware Analysis
DFIR / OSINT /マルウェア分析
• 64 bits Linux distribution
64ビットLinuxディストリビューション
• Based on UBUNTU 16.04 LTS
UBUNTU16.04 LTSベース
• Last stable kernel 4.18.5
安定版kernel 4.18.5](https://image.slidesharecdn.com/tsurugilinuxavtokyo-181105045755/85/Tsurugi-Linux-AVTOKYO2018-11-320.jpg)
![TSURUGI LINUX [LAB]
• 64 bits Linux distribution
64ビットLinuxディストリビューション
• SPECIFIC Advanced MENU
アドバンストメニュー
• DFIR / OSINT / Malware Analysis
DFIR / OSINT /マルウェア分析
• KERNEL WRITE BLOCKER
KERNEL書込み制限
• OSINT PROFILE SWITCHER
OSINTプロフィールSWITCHER
• Automount / Autoexec block
オートマウント/オート実行阻止
• Docker predisposition
Docker要素
• Advanced Boot options](https://image.slidesharecdn.com/tsurugilinuxavtokyo-181105045755/85/Tsurugi-Linux-AVTOKYO2018-14-320.jpg)
![KERNEL WRITE BLOCKER
tsurugi-linux.org
At present, there are no universal ways to mount
a file system truly read-only in [vanilla]
Linux. 現状、「素」のLinuxにread-onlyのファイルシステムをマウ
ントする普遍的な方法は存在しない。
For example, mounting a file system with the
"ro" option doesn't guarantee that a kernel
driver will not write to a corresponding block
device (according to the mount man page)
例えば、”ro”オプションでファイルシステムをマウントすることは、必ずし
もkernelドライバーがブロックデバイスへの書き込みをしないことを保証し
てるわけではない。
mount -o ro /dev/sda1 /mnt/sda1/](https://image.slidesharecdn.com/tsurugilinuxavtokyo-181105045755/85/Tsurugi-Linux-AVTOKYO2018-24-320.jpg)
![@tsurugi_linux
@Sug4r7
www.linkedin.com/in/giovannirattaro
info [at] tsurugi-linux [dot] org
sug4r [at] tsurugi-linux [dot] org
tsurugi-linux.org](https://image.slidesharecdn.com/tsurugilinuxavtokyo-181105045755/85/Tsurugi-Linux-AVTOKYO2018-48-320.jpg)
Uploaded byunixfreaxjp
「Tsurugi Linux」プレゼンテーションAVTOKYO2018
イベントの情報は下記となります↓ http://ja.avtokyo.org/avtokyo2018/speakers#Giovanni
![[cb22] Hayabusa Threat Hunting and Fast Forensics in Windows environments fo...](https://cdn.slidesharecdn.com/ss_thumbnails/d2t2s052022-10-28-dfirandthreathuntingwithwindowseventlogszachmathisversion3-230103072306-eb57bdc0-thumbnail.jpg?width=640&height=640&fit=bounds)
![[CB18] 使い捨てられた攻撃インフラの残骸の中からも攻撃者の痕跡を探る ― 動的・静的な DNS フォレンジックによる検知指標診断システム by 谷口...](https://cdn.slidesharecdn.com/ss_thumbnails/190110codebluefsijp-190118130223-thumbnail.jpg?width=640&height=640&fit=bounds)
「Tsurugi Linux」プレゼンテーションAVTOKYO2018
- 1. TS SURUGI Linux thesharpest weapon in your DFIR arsenal 最高に切れ味の良いDFIRツール TLP WHITE tsurugi-linux.org Giovanni 'sug4r' Rattaro @tsurugi_linux
- 2. $WHOAMI プロフィール GIOVANNI 'sug4r' RATTARO •IT SECURITY CONSULTANT @ ITセキュリティコンサルタント • Italian staff member old << back|track Linux project back|track Linux projectのイタリア人古参スタッフ • Ex developer DEFT Linux DEFT Linuxの元開発者 • DFIR teacher for fun & profit DFIRの講師 • TSURUGI Linux core developer TSURUGI Linuxのコア開発者 • (…)
- 3.
- 4. TSURUGI LINUX OPEN SOURCEPROJECT [What IS and what is NOT] tsurugi-linux.org
- 5. OUR GOAL? 目的? tsurugi-linux.org SHARE KNOWLEDGE & GIVEBACK TO THE COMMUNITY! コミュニティーへの還元!
- 6.
- 7. TSURUGI LINUX OPEN SOURCEPROJECT tsurugi-linux.org
- 8. TSURUGI LINUX [ LAB] TSURUGI ACQUIRE BENTO TSURUGI LINUX project
- 9. $CAT TSURUGI_LINUX.TEAM チームの紹介 tsurugi-linux.org Marco ‘Blackmoon’Giorgi: [@blackmoon105] • Digital Forensics examiner and computer forensics analyst デジタルフォレンジック検査官かつコンピュータフォレンジック分析官 • Teacher for forensic trainings for Law Enforcements and professionals 法執行機関、専門家向けフォレンジックトレーニング講師 • Tsurugi LAB and Tsurugi Acquire projects Tsurugiラボ、Tsurugi Acquireプロジェクト Davide ‘Rebus' Gabrini: [@therebus] • Italian CSI inspector イタリア科学捜査警部補 • BENTO developer BENTOの開発者 Giovanni 'sug4r' Rattaro
- 10. TSURUGI LINUX OPEN SOURCEPROJECT tsurugi-linux.org
- 11. TSURUGI LINUX [LAB] •For educational and/or professional use 教育用/業務用 • DFIR / OSINT / Malware Analysis DFIR / OSINT /マルウェア分析 • 64 bits Linux distribution 64ビットLinuxディストリビューション • Based on UBUNTU 16.04 LTS UBUNTU16.04 LTSベース • Last stable kernel 4.18.5 安定版kernel 4.18.5
- 13. WHICH ARE THE SPECIALSFEATURES AND WHAT IS NEW? 特徴と新機能? tsurugi-linux.org
- 14. TSURUGI LINUX [LAB] •64 bits Linux distribution 64ビットLinuxディストリビューション • SPECIFIC Advanced MENU アドバンストメニュー • DFIR / OSINT / Malware Analysis DFIR / OSINT /マルウェア分析 • KERNEL WRITE BLOCKER KERNEL書込み制限 • OSINT PROFILE SWITCHER OSINTプロフィールSWITCHER • Automount / Autoexec block オートマウント/オート実行阻止 • Docker predisposition Docker要素 • Advanced Boot options
- 15.
- 16. TSURUGI Linux mainmenu & tools classification メ インメニューとツール類
- 17.
- 18.
- 19.
- 20.
- 21.
- 22.
- 23.
- 24. KERNEL WRITE BLOCKER tsurugi-linux.org Atpresent, there are no universal ways to mount a file system truly read-only in [vanilla] Linux. 現状、「素」のLinuxにread-onlyのファイルシステムをマウ ントする普遍的な方法は存在しない。 For example, mounting a file system with the "ro" option doesn't guarantee that a kernel driver will not write to a corresponding block device (according to the mount man page) 例えば、”ro”オプションでファイルシステムをマウントすることは、必ずし もkernelドライバーがブロックデバイスへの書き込みをしないことを保証し てるわけではない。 mount -o ro /dev/sda1 /mnt/sda1/
- 25. KERNEL WRITE BLOCKER tsurugi-linux.org Tomount a truly ro locked device with a corrupted file system it’s possible to use the “mount noload” option to disable recovery and/or journaling operation: 壊 れたファイルシステムでroロックされたデバイスをマウントするため に、”mount noload”オプションを使って復元機能や操作記録を無効化する ことができる。 mount -o ro,noload /dev/sda1 /mnt/sda1/
- 26.
- 27.
- 28.
- 32.
- 33.
- 34.
- 35.
- 36. TSURUGI ACQUIRE • 32bits Linux distribution 32 bits Linuxディストリビューション • Live minimal version Live minimalバージョン • Only for “disk acquisition” “disk acquisition”専用 • KERNEL WRITE BLOCKER KERNEL書込み制限 • Autoscaling for Retina/4K display
- 37.
- 38.
- 39. BENTO • Live forensicsanalysis toolkit ライブフォレンジック分析ツールキット • About 300 tools (Windows, Linux, macOS) 300のツール類
- 40.
- 41.
- 42.
- 43. NEXT STEPS &OUR ROADMAP 次の展開とロードマップ tsurugi-linux.org • Push ready to download Virtual Machines (please we need your feedback!) VM版のダウンロード準備(感想お寄せください!) • Put online last developement build 開発ビルド最終版のオンライン化 • Create documentation about Tsurugi Linux project and free training courses Tsurugi Linuxのドキュメント作成と無償のトレーニングコース • System upgrade to 18 LTS version 18 LTS版へのシステムアップグレード • Build an official repository to push custom updates カスタムアップデートのための公式レポジトリの準備 • New Amazing feature! (Use Tsurugi Linux and try to find the hint…) 驚くような新機能!(Tsurugi Linuxを使ってヒントを探して…) • Sleep… ☺ 眠ること…☺
- 44.
- 45.
- 46. tsurugi-linux.org Are you readyto go public?
- 48. @tsurugi_linux @Sug4r7 www.linkedin.com/in/giovannirattaro info [at] tsurugi-linux[dot] org sug4r [at] tsurugi-linux [dot] org tsurugi-linux.org