【51CTO.com快譯】數字取證和事件響應是兩種互補的活動，不僅需要深入了解操作系統和互聯網，還需要大量工具，這取決于要實現的目標。一位調查員可能只想從以取證手段獲取的硬驅中恢復文件，另一位調查員可能想要全面分析系統，檢查有關系統的多項內容。Tsurugi Linux支持所有這些操作。

Tsurugi Linux有不同的版本：

• 用于完整實時使用或安裝的標準發行版。
• 隨時可以安裝在主機操作系統上的虛擬機，無論您使用Windows、Mac還是Linux。
• 更輕盈的32位版本，專用于僅進行實時磁盤獲取。
• 便攜式取證工具包，旨在幫助執行實時調查。

這種發行版的主要用途是用作專用于運行所有所需調查的虛擬機。因此，本文介紹如何以這種方式使用它。

您需要什么?

除了運行Windows、Mac或Linux操作系統的計算機外，還需要虛擬化軟件。我們選擇了VirtualBox，因為它是一款非常流行、易于使用的開源軟件。

您還需要通過下載頁面上的其中一個鏡像下載Tsurugi Linux的虛擬設備。選擇頁面上的一個鏡像，開始下載后綴名為.ova的文件(圖 A)。

圖A. 可在其中一個官方鏡像上下載的Tsurugi Linux .ova文件

如何安裝虛擬設備?

打開VirtualBox，選擇“文件/導入設備”，然后選擇剛下載的本地虛擬設備文件(圖 B)。

圖B. 選擇要在VirtualBox中安裝的虛擬設備文件

點擊“下一步”然后點擊“導入”，閱讀并接受軟件許可協議。虛擬設備正在安裝中(圖 C)。

圖C. 導入虛擬設備

如何啟動虛擬設備?

在VirtualBox中選擇Tsurugi虛擬機，然后點擊“開始”。虛擬機啟動，并顯示默認用戶tsurugi的登錄頁面(圖 D)。

圖D. 默認tsurugi 用戶的登錄頁面

輸入默認密碼tsurugi。Linux發行版現已準備就緒。

如何設置環境?

現在是安裝VirtualBox Guest Additions的時候了，這讓虛擬機可以全屏運行，在主機和訪客計算機之間共享剪貼板或文件夾，并提高性能。

在VirtualBox中選擇“設備/插入Guest Additions CD映像”。

出現了CD圖標，以VirtualBox Guest Additions版本命名(圖 E)。

圖E. VirtualBox Guest Additions CD 出現

雙擊CD，然后鼠標右擊VBoxLinuxAdditions.run，選擇“以管理員身份運行”(圖 F)。

圖 F. 運行VirtualBox Guest Additions的安裝

安裝運行后，重啟虛擬機，享受添加訪客的虛擬機所帶來的舒適(圖 G)。

圖 G. Tsurugi Linux 桌面

Tsurugi Linux的主要功能

Tsurugi Linux基于著名的Ubuntu LTS發行版(64 位)，帶有打過補丁的內核，實現了幾項有意思的功能。

• 內核寫入攔截器

默認情況下，連接到系統的所有設備都以只讀模式掛載。如果調查人員想要在他或她不想以任何方式改變的設備上進行分析，這是一項必不可少的功能，因此可以保留設備上的所有證據。

• OSINT 配置文件切換器

從桌面雙擊即可激活此功能，并在兩個不同的用戶配置文件之間切換：一個配置文件用于數字取證和事件響應，第二個用于開源情報用途。

• 數百個DFIR工具

在Tsurugi Linux中，DFIR工具以巧妙的方式加以分類，因此任何研究人員或學者都可以輕松找到適合其目的的適當工具(圖 H)。

圖H. 工具類別，如Tsurugi Linux中所示

對于任何想要在單一發行版中擁有所需一切功能的DFIR專業人士來說，Tsurugi Linux發行版展示了出色的功能。對于在學習或研究期間可能想要核查多個DFIR或 OSINT工具的學者和學生來說，它也可能是一種選擇。

除了標準的Tsurugi Linux發行版外，為實時磁盤獲取而開發的輕量版本也可能會讓DFIR專業人士感興趣，因為它允許以合理的方式獲取不同的設備，并在不改動復制設備的情況下保存證據。

原文標題：How to install the Tsurugi Linux distribution

【51CTO譯稿，合作站點轉載請注明原文譯者和出處為51CTO.com】