フォレンジックツール「dart」を簡単に使ってみた。

こんにちは。
今回はフォレンジックツールdart」を軽く触ってみましたので、それについて書きたいと思います!

dartについて

dartはDEFT Linuxに付属してくるフォレンジックツールで、DEFT Linuxといえば皆さんご存知のフォレンジックに特化したLinuxとなっています。

dartはDEFT Linuxを起動せずとも利用ができます。
その方法については調べれば簡単に出ると思いますので、今回は割愛させていただきます。

dartGoogle Chromeの履歴を見てみる

今回はざっくりとdartについてやるので、分かりやすいGoogle Chromeの履歴を見てみることにしたいと思います。

まずはdartを起動します。
そうすると以下の様な画面になるかと思います。

f:id:eyesjapan:20150214013032p:plain

その後、Forensics -> Browser -> ChromeHistoryViewを選択、起動します。

f:id:eyesjapan:20150214013042p:plain

これはGoogle Chromeの履歴を解析するためのツールになります。
その他にもキャッシュ解析やクッキー解析のツールも用意させています。
ブラウザによってそれらはデータ構造が異なるため、ツールで見るのが一番手っ取り早く解析できると思います。

そして次にファイルの指定をします。
今回は直接、ファイルの場所をしていしますがもしかしたらCTFなんかでHistoryファイルだけをわたされることもあるかもしれませんね。

Windowsの場合:C:¥Users¥ユーザー名¥AppData¥Local¥Google¥Chrome¥UserData¥Default¥History
Macの場合:~/Library/Application Support/Google/Chrome/Default/History

f:id:eyesjapan:20150214013046p:plain

上記の場所をOptionから指定して読み込ませます。

そうすると以下のように結果を取得できます。
f:id:eyesjapan:20150215120514p:plain
パッと見てすぐに分かるかと思いますが、訪れたサイトのURLやタイトル、日付などがリストとなっています。

まとめ

今回はChromeの履歴を見るという簡単なことを試してみましたが、キャッシュやクッキーであったり、その他にもdartにはさまざまなフォレンジックツールがあります。
これらをすべて扱えるようになれば確実にCTFでフォレンジックの問題はとれるのではないでしょうか(笑)
みなさんもぜひ使ってみてください。