Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

「Tsurugi Linux」プレゼンテーションAVTOKYO2018

1,626 views

Published on

イベントの情報は下記となります↓
http://ja.avtokyo.org/avtokyo2018/speakers#Giovanni

Published in: Education
  • Be the first to comment

「Tsurugi Linux」プレゼンテーションAVTOKYO2018

  1. 1. TS SURUGI Linux the sharpest weapon in your DFIR arsenal 最高に切れ味の良いDFIRツール TLP WHITE tsurugi-linux.org Giovanni 'sug4r' Rattaro @tsurugi_linux
  2. 2. $WHOAMI プロフィール GIOVANNI 'sug4r' RATTARO • IT SECURITY CONSULTANT @   ITセキュリティコンサルタント • Italian staff member old << back|track Linux project  back|track Linux projectのイタリア人古参スタッフ • Ex developer DEFT Linux  DEFT Linuxの元開発者 • DFIR teacher for fun & profit  DFIRの講師 • TSURUGI Linux core developer  TSURUGI Linuxのコア開発者 • (…)
  3. 3. FIRST OF ALL THANKS! tsurugi-linux.org
  4. 4. TSURUGI LINUX OPEN SOURCE PROJECT [What IS and what is NOT] tsurugi-linux.org
  5. 5. OUR GOAL?  目的? tsurugi-linux.org SHARE KNOWLEDGE & GIVE BACK TO THE COMMUNITY! コミュニティーへの還元!
  6. 6. WHY JAPANESE NAMING? なぜ日本語のネーミング? tsurugi-linux.org
  7. 7. TSURUGI LINUX OPEN SOURCE PROJECT tsurugi-linux.org
  8. 8. TSURUGI LINUX [ LAB ] TSURUGI ACQUIRE BENTO TSURUGI LINUX project
  9. 9. $CAT TSURUGI_LINUX.TEAM チームの紹介 tsurugi-linux.org Marco ‘Blackmoon’ Giorgi: [@blackmoon105] • Digital Forensics examiner and computer forensics analyst    デジタルフォレンジック検査官かつコンピュータフォレンジック分析官 • Teacher for forensic trainings for Law Enforcements and professionals   法執行機関、専門家向けフォレンジックトレーニング講師 • Tsurugi LAB and Tsurugi Acquire projects  Tsurugiラボ、Tsurugi Acquireプロジェクト Davide ‘Rebus' Gabrini: [@therebus] • Italian CSI inspector   イタリア科学捜査警部補 • BENTO developer BENTOの開発者 Giovanni 'sug4r' Rattaro
  10. 10. TSURUGI LINUX OPEN SOURCE PROJECT tsurugi-linux.org
  11. 11. TSURUGI LINUX [LAB] • For educational and/or professional use   教育用/業務用 • DFIR / OSINT / Malware Analysis   DFIR / OSINT /マルウェア分析 • 64 bits Linux distribution  64ビットLinuxディストリビューション • Based on UBUNTU 16.04 LTS   UBUNTU16.04 LTSベース • Last stable kernel 4.18.5   安定版kernel 4.18.5
  12. 12. WHICH ARE THE SPECIALS FEATURES AND WHAT IS NEW? 特徴と新機能? tsurugi-linux.org
  13. 13. TSURUGI LINUX [LAB] • 64 bits Linux distribution   64ビットLinuxディストリビューション • SPECIFIC Advanced MENU アドバンストメニュー • DFIR / OSINT / Malware Analysis DFIR / OSINT /マルウェア分析 • KERNEL WRITE BLOCKER KERNEL書込み制限 • OSINT PROFILE SWITCHER   OSINTプロフィールSWITCHER • Automount / Autoexec block   オートマウント/オート実行阻止 • Docker predisposition Docker要素 • Advanced Boot options
  14. 14. Boot options
  15. 15. TSURUGI Linux main menu & tools classification                             メ インメニューとツール類
  16. 16. Imaging menu 保全メニュー
  17. 17. Artifacts Analysis アーティファクト解析
  18. 18. Malware Analysis マルウェア解析
  19. 19. Network Analysis ネットワーク解析
  20. 20. MOBILE FORENSICS モバイルフォレンジック OSINT 
  21. 21. OTHER TOOLS その他ツール CRYPTO CURRENCY 暗号通貨
  22. 22. KERNEL WRITE BLOCKER
  23. 23. KERNEL WRITE BLOCKER tsurugi-linux.org At present, there are no universal ways to mount a file system truly read-only in [vanilla] Linux.  現状、「素」のLinuxにread-onlyのファイルシステムをマウ ントする普遍的な方法は存在しない。 For example, mounting a file system with the "ro" option doesn't guarantee that a kernel driver will not write to a corresponding block device (according to the mount man page) 例えば、”ro”オプションでファイルシステムをマウントすることは、必ずし もkernelドライバーがブロックデバイスへの書き込みをしないことを保証し てるわけではない。 mount -o ro /dev/sda1 /mnt/sda1/
  24. 24. KERNEL WRITE BLOCKER tsurugi-linux.org To mount a truly ro locked device with a corrupted file system it’s possible to use the “mount noload” option to disable recovery and/or journaling operation: 壊 れたファイルシステムでroロックされたデバイスをマウントするため に、”mount noload”オプションを使って復元機能や操作記録を無効化する ことができる。 mount -o ro,noload /dev/sda1 /mnt/sda1/
  25. 25. SOME DETAILS…
  26. 26. The /mnt DIRECTORY tsurugi-linux.org
  27. 27. OSINT PROFILE SWITCHER
  28. 28. 81tsurugi-linux.org
  29. 29. ISO LIST
  30. 30. NEW FEATURES 新機能 tsurugi-linux.org
  31. 31. TSURUGI ACQUIRE tsurugi-linux.org
  32. 32. TSURUGI ACQUIRE • 32 bits Linux distribution   32 bits Linuxディストリビューション • Live minimal version   Live minimalバージョン • Only for “disk acquisition” “disk acquisition”専用 • KERNEL WRITE BLOCKER KERNEL書込み制限 • Autoscaling for Retina/4K display   
  33. 33. TSURUGI ACQUIRE tsurugi-linux.org
  34. 34. BENTO TOOLKIT tsurugi-linux.org
  35. 35. BENTO • Live forensics analysis toolkit ライブフォレンジック分析ツールキット • About 300 tools (Windows, Linux, macOS)   300のツール類
  36. 36. BENTO TOOLKIT tsurugi-linux.org
  37. 37. BENTO TOOLKIT tsurugi-linux.org
  38. 38. BENTO TOOLKIT tsurugi-linux.org
  39. 39. NEXT STEPS & OUR ROADMAP 次の展開とロードマップ tsurugi-linux.org • Push ready to download Virtual Machines (please we need your feedback!)   VM版のダウンロード準備(感想お寄せください!) • Put online last developement build   開発ビルド最終版のオンライン化 • Create documentation about Tsurugi Linux project and free training courses   Tsurugi Linuxのドキュメント作成と無償のトレーニングコース • System upgrade to 18 LTS version   18 LTS版へのシステムアップグレード • Build an official repository to push custom updates   カスタムアップデートのための公式レポジトリの準備 • New Amazing feature! (Use Tsurugi Linux and try to find the hint…)   驚くような新機能!(Tsurugi Linuxを使ってヒントを探して…) • Sleep… ☺   眠ること…☺
  40. 40. LIVE DEMO TIME! tsurugi-linux.org
  41. 41. Questions?
  42. 42. tsurugi-linux.org Are you ready to go public?
  43. 43. @tsurugi_linux @Sug4r7 www.linkedin.com/in/giovannirattaro info [at] tsurugi-linux [dot] org sug4r [at] tsurugi-linux [dot] org tsurugi-linux.org

×