【DFIR】VirtualBox上でSANSSIFT使ってみた。
環境が変わるごとにツールをインストールするのが面倒になってきたので、
DFIR系ディストリビューション使ってみたいと思い、SANSSIFTを入れることにしました。
しかし、日本語でインストール方法などを書いているページがなかったので、
この先インストールするだれかのために、SANSSIFTの使い方を書いてみることにしました。
SANSSIFTを選んだ理由
・かっこいいから
・私の先輩が使っているのを借りたとき、とても便利だった
・HolidayHackChallenge(年末から年明けにかけて行われる物語系CTFみたいなもの)が面白くてSANSのファンになったから
・SANSの研修受けたいから、、
…早速本題です!
必要なもの
・VirtualBox
・SANSのアカウント
・SIFT VM ?(仮想imageファイルのようなもの)
です。VirtualBoxはPCにインストールされている前提で進めます。
まず、以下のサイトからSIFT VMをダウンロードします。
ダウンロードはSANSユーザのみです。
ダウンロードしようとすると、ユーザ・パスワードを聞かれるので、その際にSANSのアカウントを作成しましょう。(無料です)
SIFT Workstation Download
アカウント登録が終わったら先ほどの画面のここをクリックし、
SIFT-Workstation.ovaの方をダウンロードします。
ダウンロードが終わったら、VirtualBoxのファイル→仮想アプライアンスのインポートを開き、
先ほどダウンロードしたファイルを選び、次へ。
特に何も変えず、インポートをします。
VMを起動し、以下の情報でログインします。
Login = sansforensics
Password = forensics
するとそこにはSANSSIFTが!!
マニュアルがデスクトップに散りばめられています。(英語ですが、、)
試しにRegistryParsingをしてみます。(このツール自分で入れようとするとプラグインやらなんやらでめんどくさいから入っているのありがたい)
説明通りパースすると、、できました!
ちゃんと指定したファイルもできてました。
これからも英語のマニュアルを読みながら、どんどん使っていきたいです。