Forensics toolのまとめ(windows多め)最終更新2020/04/16
使ってないのも、使ったことがあるのも含めて色々まとめ。
使えないのもあるかも。間違っている部分はご教授ください。
また、全てのリンクを確認できていないので危険なリンクなどがあれば教えてください。
ディスクイメージ系
・FTK Imager Lite
ディスクイメージを参照
NTFSマスターファイルテーブル($MFT)を抽出したり、削除済みファイルを復元したりする。
・MFTDump
$MFTの情報を解析して表形式で出力する。
> mftdump.exe /o output.csv <MFTファイル/ディスクイメージ>
ディスクイメージを解析して見やすく表示
FTK Imagerにはない「ファイルタイプ別」「削除されたファイル」「EXIFメタデータ」「Eメールメッセージ」などの観点で一覧できる。
・Sleuthkit
ディスクイメージのCUI解析ツール(AutopsyのCUIバージョン)
使用例 Autopsy & The Sleuth Kitの基本的な使い方 - 4ensiX
・autoruns
システムで自動起動するように登録されたエントリを一覧できる
FTK Imagerなどでマウントしたドライブを対象に解析することもできる。
使用例 contrailCTF2019 Forensic Writeup - 4ensiX
・Log Parser Studio
SQLでイベントログを参照し、テキスト出力できる。
・Bulk Extractor with Record Carving
ディスクイメージからファイルをカービングする。
・OSForensics
ディスクイメージを解析して見やすく表示※有償・30日トライアル可能
日付を指定して操作履歴を確認、削除ファイルを含めてファイルを検索、
メモリダンプの詳細が確認できる。
ブラウザのパスワード、Windowsパスワードなども探索できる。
RAIDのrebuildができた。
・NTFS Log Tracker
$LogFileからファイル操作記録を抽出(要SQLite)。ファイル操作記録がどれほどのものなのかは未知。
・ADS Manaager
代替データストリームを表示。何に使うのか分かっていない。
$JやUSNジャーナルの解析に特化したツール。
SRUDB.datの解析。
RAIDのrebuildが足りないファイルがあってもできることがあった。
使用例 RR - HackTM CTF 2020 Forensic writeup - 4ensiX
・TestDisk
ファイル復元ソフト。パーティション?領域が壊れていなければ、読み取って復元できる。sleuth kitでファイル復元するよりは、こっちの方が簡単な気がする。
仕組みが分かっていないけれど、無理やりこいつが理解できたファイル形式のファイルを取り出す。
レジストリ系
・Windows Registry Recovery
レジストリビューワー。
windows hiveファイルからパスワードなどの情報を抜き出す。(windows機だとウイルス判定されそう)
メモリ系
・KaniVola
メモリダンプを解析する
メモリダンプの解析といえばこれだと思っている。プロセスのダンプではなく、メモリ全体のダンプでなければ解析できない。
windowsの実行ファイル解析だけでなく、windowsのプロセスメモリダンプ(windows minidump)にも使う。
ステガノグラフィー系
画像や音声にパスワードを使用してデータを埋め込み・取り出しを行う。javaで動く。
ファイルの隠ぺい
> steghide.exe -cf <ファイル> -ef <隠すファイル>
隠ぺいファイルの抽出
> steghide.exe extract [-xf <隠ぺいファイル>] -sf <ファイル>
隠ぺいファイル情報表示
> steghide.exe info <ファイル名>
使用例 NeverLAN CTF 2020 PCAP/Forensic writeup - 4ensiX
・Digital Invisible Ink Toolkit
複数のアルゴリズムで、画像にファイルや文字列を埋め込める/取り出せる。
使用例 X-MASCTF2019 Santa's letter
画像系
・PNG_Analyzer
pngのチャンクサイズを変更できる。
IHDRのEditorタブで縦横のサイズを増やし、左のIHDR項目をクリックするとCRCが更新され、画像の表示領域を増やせる。
pngのチャンクを一覧表示する。
【レビュー】PNG画像を解析して詳細なフォーマット情報を取得・表示するツール「TweakPNG」 - 窓の杜
・PCRT
pngのチャンクをチェックして、エラーがあれば修正してくれる。ヘッダー以外にpngに問題がある場合に活躍する可能性があるかもしれない。
使用例 UTCTF 2020 Forensics writeup - 4ensiX
・Stegsolve
画像のビット要素を分解して様々なパターンで表示することができる。リンク先には他にも色々あるけど分からん。Java環境必須。画像を弄るせいなのか、動作が重い。
・初音
PNGファイルに任意のファイルを埋め込んだり、取り出したり。
・OpenStego
画像ファイルにデータを埋め込む。
・StegoShare
画像ファイルにデータを埋め込む。
・Gimp
画像ファイル編集ソフト。
音声系
・MP3Stego
MP3にデータを埋め込むだり、取り出したり。
・Audacity
音声ファイル編集ソフト。
使用例 UTCTF 2020 Forensics writeup - 4ensiX
NeverLAN CTF 2020 PCAP/Forensic writeup - 4ensiX
SSTVが来たらこいつに聞かせる。音が再生されれば自動で録音が始まる。大音量で迷惑にならず、雑音の少ないところで使うべし。
使用例 UTCTF 2020 Forensics writeup - 4ensiX
動画系
動画の静止画キャプチャができる。
ZIP系
zipのパスワード解析。本当に簡単で短いパスワード(英数8桁くらい?)じゃないとダメだった気がする。
壊れたzipファイルを復元する。
暗号化されたzipファイルの中身のファイルの内、どれか一つでも平文のファイルを持っていればzipの暗号化を解けるというもの。とても癖が強いので今度ブログにまとめる。
Android系
・ dex2jar
dexをjarに変換。
apkファイルを展開する。
Kali Linux Forensics tools(2) [apktool] androidのアプリ用の.apkファイルを解析 - 4ensiX
AndroidManifest.xmlのバイナリをテキストに変換する。
apkファイルの編集が可能。apktool,uber-apk-signer,adb,zipalignが必要。
Util
PEのエディタ。
・HashMyFile
複数ファイルのハッシュを一度に計算できる。
・7zip
何だかんだで圧縮、解凍だけでなくimgとかfirmwareとか、binとか沢山色々なやつの構造が見れるので、実はとても役に立つ子なんです。
2つのファイルをXORしたファイルを作る。
・mpv
これ一つで動画も音声も色々再生できるプレーヤー。aptとかでも入る。
kgbファイルを開くときに利用する。aptとかでも入るハズ。
その他
色々な機能を備えた総合ツール。ファイル形式の解析、ファイル抽出、バイナリ表示など色々できる。
dll/ocx/exeに含まれるファイルを抽出する。
・pyOLEScanner
Office関連ファイルの解析で使えるツール。
・PDF Stream Dumper
PDF内のJavaScript解析してくれる。
・HashTab
ファイルのプロパティにハッシュを表示するタブを追加する。
windowsからパスワードハッシュを取得する。
apt-get install samdump2 bkhive
Windowsアカウントのパスワードをクラッキングする方法 - セキュリティ
・PDF Stream Dumper
PDF内のJavaScriptを解析してくれる。
・Hexinator
ファイルの種類に応じたバイナリ構造のハイライト機能を持ったバイナリエディタ
※一部機能は14日でトライアル切れとなる
・Unicode Steganography with Zero-Width Characters
ユニコードZero windthを使ったsteganoを解くやつ。いつかまた使う日を夢見ている。
使用例 UTCTF 2020 Forensics writeup - 4ensiX
未知のツールまとめ
色々ありすぎてまとめるのがメンドクサくなった。
ちゃんと探したら良いツールありそう。
参考
CTFで役立ちそうなツールの一覧 Windows編 - セキュリティこねこね
大部分はここ↑にお世話になりました。
CTF - A painter and a black cat
画像および音声オブジェクトの内部に情報を隠す4つの方法 | OSDN Magazine
GitHub - zardus/ctf-tools: Some setup scripts for security research tools.
実はほとんど未使用なので分かっていない部分が多い。
他にも良いツールがあれば教えてください。
