ЦУРУГИ Линукс

«Цуруги - японский двуручный меч»

Цуруги - это специализированный дистрибутив Linux, предназначенный для проведения криминалистического анализа компьютерных систем, реагирования на инциденты информационной безопасности и анализа вредоносных программ.

Существует 3 основных сборки этого дистрибутива:

TSURUGI Linux [LAB] - Сборка для цифрового криминалистического анализа | 3.9Gb | Доступно для скачивания

TSURUGI Acquire - сделан в целях судебной экспертизы | 1.1Gb | Доступно для скачивания

Bento - Портативный инструментарий для проведения следственных мероприятий в реальном времени | Сейчас недоступно

Из инструментов:

Работа с образами - dc3dd, ddrescue, esximager, ewfacquire, ftkimager, cyclone и другие инструменты для форматов AFF, EWF, RAW

Хэширование - hashdeep, md5sum, sha1sum, sha256sum, sha512sum

Монтирование -affuse, ewfmount, fusemount, xmount, apfs-dump, veracrypt и т.д. И инструмент монтирования для Bitlocker, Shadow Copy

Анализ хронологии событий - комплект Sleuth Kit, PLASO, pinfo, psteal, Timesketch, yarp-timeline и т.д.

Анализ артефактов - содержит множество инструментов для Windows, Mac, BootCode, браузера, электронной почты, файлов, файловой системы,

Google Takeout, списка переходов, метаданных, P2P, реестра и анализа артефактов, связанных с корзиной.

Восстановление данных - сом, DDRescure, ext3grep, photorec, safecopy, myrescue, ext4magic, прежде всего и т.д.

Криминалистический анализ оперативной памяти- aeskeyfind, volatility, vshot, swap_digger, отзыв, pdgmail, evolve, rsakeyfind, damn и т.д.

Анализ вредоносных программ - содержит множество инструментов для изучения вредоносного ПО, JavaScript, JAVA, Flash, PDF.

Он также содержит Firejail Sanbox, Debugger, инструменты, связанные с XOR, и сканер, такой как bampfdetect, phpmalwarefinder, rkhunter, yara, vtTool, udicli, chrootkit. Инструменты памяти и анализа Office также присутствуют.

Восстановление паролей- aircrack-ng, dsniff, XHydra, hashcat, cupp, John the Ripper, pdfcrack, BEviewer и т.д.

Анализ сети - nmap, scapy, maltrail sensor, hping3, arp-scan, whois, torify, masscan airmon-ng, airdump-ng, kismet.

В дистрибутиве также есть инструменты для анализа сетевых журналов (например, logstach, kibana) и анализа файлов Pcap (Wireshark, tcpdump, Ettercap, driftnet, Websnort).

Анализ изображений - exiftool, Openstego, steghide, jpeg_extract, mat, zsteg и т.д.

Mobile Forensics - содержит инструменты для анализа Android (adb, apktool, fastboot, systrace, dmtracedump и т.д.),

Blackberry (apddump) и iOS (iosbackupexaminer и т.д.), А также содержит специальные инструменты для анализа WhatsApp,такие как whapa, whagodri, Guasap_Forensic. Браузер БД для SQLite также присутствует.

Наряду с этими инструментами существуют также инструменты для криптовалюты (Bitcoin Tool, Bruteforce-кошелек, BTCScan, BTCRecover и т.д.), виртуальной криминалистики и отчетности.

Tsurugi Linux содержит отдельный профиль для OSINT Analysis «OSINT Switcher».

В этом профиле есть много инструментов, чтобы улучшить анализ OSINT:

Браузер OSINT, Браузер TOR, Maltego, tweets_analyzer, youtube-dl, reconcat, InstaLooter, creepy( на данный момент не работает из «коробки») и т.д.

Помимо специализированных инструментов, в дистрибутив включены программы общего назначения, такие как Libre Office, Mozilla Firefox, KeepNote, VLC Media Player и т. д.

Мне нравится концепция терминала, он называется Терминатор. Несколько терминалов могут открываться в одинаковых окнах.

Это помогает выполнять несколько задач одновременно.

Заключение:

Это отличный дистрибутив для цифровой криминалистики, реагирования на инциденты информационной безопасности и анализа вредоносного ПО,содержащий в себе практически все необходимые инструменты и команда разработчиков постоянно обновляет и дополняет этот набор.

Переведено F1N4LSH4R3, Enemy Submarine.

https://medium.com/@markonsecurity/tsurugi-linux-a-short-review-b912c493499a