Введение
Кратко о дистрибутиве
Tsurugi Linux [LAB] — это специализированная версия Tsurugi OS являющаяся сборкой на базе Debian/Ubuntu, оптимизированная для работы в лабораторных условиях. Она предназначена для глубокого анализа вредоносного ПО, цифровой криминалистики (DFIR) и кибербезопасности. Отличается от стандартной версии Tsurugi OS расширенным набором инструментов и настроек для лабораторных условий.
Характиристика
Интерфейс: MATE (легковесный GUI)Архитектура: x86_64
Требования: CPU: 2+ ядра, RAM: 4 ГБ
Инструменты: Для анализа диска - Guymager, dc3dd, ewfacquire.
История
2016-2018
Проект стартовал в 2016 году под названием "Tsurugi Linux" (в честь японского меча - символа точности). Основан на Debian, чтобы обеспечить стабильность и совместимость с инструментами. В 2017 году выпущена alpha-версия с базовым набором утилит: Autopsy, Volatility, Wireshark.2018-2019
Для ориентации на криминалистов и специалистов по кибербезопасности, в дистрибутив добавили: Поддержка форматов E01/AFF для образов дисков, Улучшенный интерфейс XFCE.Добавлены RegRipper, Bulk Extractor для анализа артефактов Windows. Поддержка Volatility 3 (в экспериментальных сборках).
2020-2021
Появилась отдельная версия Tsurugi Linux [LAB] с инструментами для глубокого анализа malware.Переход на ядро Linux 5.x для поддержки новых файловых систем (APFS, ZFS).
Автоматизация через Python-скрипты.
Поддержка QEMU/KVM для виртуализации
2022-2023
Сфокусирование на DFIR, оптимизация (облегчённые Live-образы), проект стал популярен среди CERT-команд* и исследователей malware.2024-2025
Облачная версия для AWS/Azure, инструменты для анализа мобильных ОС.
Скачивание образа
Переходим на официальный сайт проекта
Ссылка скрыта от гостей
и нажимаем кнопку "Downloads". После вам предложат LAB версию на 16gb или tsurugi acquire на 1gb. Выбираем 2 вариант, если вам нужена полноценная лаборатория, выберайте первый вариант. Запуск происходит без проблем.Обзор
Имя системы, имя хоста сетевого узла, версию ядра и т.д:
Информация о стандартной базовой версии Linux (Linux Standard Base или LSB):
Команда для отображения и изменения имени хоста системы, а также для просмотра различных настроек системы, таких как архитектура операционной системы, режим загрузки и часовой пояс системы:
Не ставим neofetch, так как здесь есть встроенная утилита для подробной информации о системе:
Программы и файлы:
На рабочем столе нас встречают некоторые ярлыки:Displays - ярлык для настройки монитор/ов.
File Manager - файловый менеджер.
Guymager - это бесплатная программа с графическим интерфейсом для создания криминалистических образов дисков и носителей.
HI-DPI zoom - помогать настроить экран.
Keyboard - настройщик для клавиатуры.
Mouse keys switch - помогает управлять курсором с помощью клавиатуры.
Onboard - экранная клавиатура.
System Profiler and Benschmark - утилита для подробной информации о системе.
tsurugi device unlocker - утилита предназначенная для разблокировки и доступа к защищенным носителям данных, которые могут встретиться в ходе криминалистического анализа.
Есть утилиты для работы с hash'ами такие как: hashdeep, md5sum, rhash, ssdeep.
Midnight Commander - Утилита на подобии консольного файлового менеджера (Total Commander).
TeamViewer - программа для удалённого управления ОС.
tmux - утилита позволяющая разделять окно терминала на несколько маленьких окон.
GParted - Утилита для управления дисками.
Сетевые утилиты по типу: whois, tcpdump, dig, netcat.
Заключение
Возможно, это хороший вариант среди DFIR-дистрибутивов, действительно есть некоторые утилиты которые могут использоваться в криминалистике. Но упор всё ещё остаётся на терминальные утилиты, я имею ввиду что полноценных GUI приложений очень мало, не то чтобы это большой минус. ОС не всегда видит NVMe накопители, их придётся вручную добавлять в параметры ядра(fstab). Ваше мнение ожидаю в комментариях. Лично я советовал бы его попробовать, тем более что он не требует установки.
Последнее редактирование:
