Forensic調査用にVirtualBoxでSIFT 3 Workstationを導入した

先日MacBookが故障したため、修理した端末でいま色々とデータのリストアをしています。

その中でやはり最近利用頻度の高いMacBookでフォレンジック用の作業や検証もある程度できた方がいいのかもと思い、SIFT Workstationを入れておくことにしました。

SIFTはSANSから提供されているオープンソースのインシデントレスポンスツールが含まれるマシンでSANS Investigative Forensic Toolkitの略です。

フォレンジック調査やSANSの一部資格を取得する際に必要になります。

本格的なフォレンジック調査用端末として私のMacBookはスペック不足になりそうですが、まぁお遊び程度になる可能性も含めてということで入れます。

導入手順

MacBookにVirtualBoxをインストールする
今回は最新版としてバージョン 5.1.22 r115126 (Qt5.6.2)をインストールしました。
VirtualBoxでUbuntuをインストールする
導入するSIFT 3.0はUbuntu LTS 16.04がベースになっています。
Ubuntu最新バージョンである16.04.2の64bit版を下記サイトからダウンロードし、VirtualBoxにインストールしました。

Ubuntu 16.04.2 LTS (Xenial Xerus)
SIFT Kit 3.0をUbuntuにインストール
下記SANSのサイトからSIFT Kit 3.0 をダウンロードします。
(ダウンロードにはSANSのアカウントが必要なので事前に作成しておくこと)

Digital Forensics Training | Incident Response Training | SANS
VirtualBoxマネージャーの「設定(S)」から「ストレージ」を選択し、コントローラーIDEに先ほどダウンロードした「SIFT3_-_Distro_Version-disk1.vmdk」を選び設定を保存する。
SIFT Workstationへのログイン確認
VirtualBoxマネージャーから「起動(T)」を実施してログインする、その際のユーザー名：「sansforensics」、パスワード：「forensics」を利用する。