Forensicで使えそうなツールや情報のまとめ
Forensicで使えそうなツールや情報をメモします。
ツール
| ツール名 | 説明 |
|---|---|
| 7zip | ファイルを圧縮・展開する GUI ツール(Windows) ディスクイメージやステガノグラフィなどの中にファイルが含まれるようなファイルを閲覧できる可能性がある。 |
| AUTOPSY | 物理ディスクやディスクイメージファイルなどを調査できる GUI ツール(Windows・Linux) |
| binwalk | ファイル内に埋め込まれたファイルを検出・抽出することができる CUI ツール(Linux) |
| Bulk Extractor RC | ディスクイメージやファイルからカービング(ファイル抽出はできない)することができる GUI ツール(Windows) 使用するためには JRE が必要。 |
| CrackStation | レインボーテーブルを検索できる web サイト |
| CyberChef | 各種エンコード、デコードなどを行える web ツール。サイト上で使用できるほか、ダウンロードしてオフラインでも使用できる。 参考:CyberChef の基本的な使い方 |
| DBBrowserforSQLite | SQLite データベースの内容を表示する GUI ツール(Windows) |
| ExifTool | jpeg 等の Exif 情報を抽出する CUI ツール(Windows・Linux) |
| EvtxECmd | Windows のイベントログを csv にエクスポートする CUI ツール(Windows) csv の表示は同じ作者が作成した Timeline Explorer が便利 参考:Introducing EvtxECmd!! |
| FTKImager | 物理ディスクやディスクイメージファイルなどを調査できる GUI ツール(Windows) |
| hashcat | パスワードハッシュをクラックする CUI ツール(Windows・Linux) |
| jpegAnalyzer Plus | 多機能画像ファイル解析ができる GUI ツール(Windows・Linux) |
| MFTECmd | $MFT、$Boot、$J、$SDS を csv にエクスポートするコマンドラインツール(Windows) csv の表示は同じ作者が作成した Timeline Explorer が便利 参考:MFTECmd v0.2.6.0 released |
| Mimikatz | Windows の認証資格情報などを収集する CUI ツール(Windows) 参考:Mimikatz のコマンドリファレンスの非公式ガイド |
| ophcrack | レインボーテーブルを使用して Windows パスワードをクラックする GUI ツール(Windows) |
| PwDump | Windows のパスワードハッシュを収集する CUI ツール(Windows) |
| Registry Explorer | Registry を参照する GUI ツール(Windows) 参考:Registry Explorer/RECmd 0.7.1.0 released! |
| stego-toolkit | ステガノグラフィツールを集めたdockerイメージ wiki にツールの一覧が記載されている。 |
| Stirling | バイナリ編集用 GUI ツール(Windows) |
| testdisk | パーティションを復元できる CUI ツール(Windows・Linux) |
| Timeline Explorer | csv や EXCEL ファイルを表示するための GUI ツール(Windows) 参考:Timeline Explorer 0.5.0.0 released |
| WxTCmd | Window10 のタイムラインデータベースを csv にエクスポートする CUI ツール(Windows) csv の表示は同じ作者が作成した Timeline Explorer が便利。 参考:introducing-wxtcmd |
| うさみみハリケーン | マルウェア解析とフォレンジックに使える汎用 GUI ツール(Windows) |
| サクラエディタ | 文字コード変換や Grep が便利な GUI テキストエディタ(Windows) |
参考記事
| サイト名 | 説明 |
|---|---|
| GCK'S FILE SIGNATURES TABLE | マジックナンバーの一覧 |
| パスワードってどこにあるの?その1 | Windows の NTLM についての解説記事 |
| パスワードってどこにあるの?その2 | Active Directory の認証についての解説記事 |
| Windows 10 Timeline 解析記事のメモ | Windows10 の timeline に関する記事のまとめ |
| ハイブファイルを使用したパスワード解析 | レジストリハイブファイル を使用して Windows の パスワード解析を行う方法のメモ |
| Windows Security Log Events | Windows Event Log の解説 |
無料でツールや情報を共有してくれる方々に感謝。
