フォレンジック調査ツール

[トップ] [調査ツール] [セミナー] [トレーニング] [ForensicsAQ] [Forensics MAP] [Ji2 Home] [Ji2 Forensics]


オリジナルのEnScriptと.NET Framework上で動作するGUIツールを公開しています。
ソースコードがUPされているものに関しては下記に定めるGPLライセンス条件の下で再配布または改変することができます。
GPL(GNU General Public License)
参照 URL:http://www.opensource.jp/gpl/gpl.ja.html.euc-jp
 kani

EnScriptの説明や使い方に関しては、ニュースレターのテクニカルコラム(2009年6月号および8月号)をご参照ください。
.NET GUIツールの使用には.NET Framework 2.0以降がインストールされた環境が必要です。

※Ji2は、調査員作のフリーツール(以下、ツール類)を現状有姿にて提供するものであり、ツール類に瑕疵が存在しないこと、
 ツール類の機能が貴社の要望を満たすことを含め、明示的であると黙示的であるとを問わず一切保証しません。
 また、ツール類を実行することによって生じる直接・間接を含むいかなる損害に対しても、Ji2は一切責任を負いません。
※全てzipファイルでの提供となります。展開してご使用ください。

1 Enscript

1.PathLengthChecker
255文字以上のフルパス名を持つエントリを検索して、該当するエントリのブックマークを作成します。 ダウンロード
2.PathLengthCheckerSelected
255文字以上のフルパス名を持つエントリを検索して、該当するエントリのブックマークを作成します(検索対象はブルーチェックしたエントリに限定)。 ダウンロード
3.IdentifyMSOfficeEncryptionV3
Office2007もしくはOpenOfficeのパスワード保護付きファイルのエントリを検索して、該当エントリをブックマークします。 ダウンロード
4.ExportVerifyReport
現在のケースに追加されている全てのデバイスのベリファイハッシュ値を含む情報をRTF形式で出力します。 ダウンロード
5.ECC_Summary
EnCase eDiscoveryモジュールが生成したログ(FileLog.csv)からresponsive/non-responsiveなどのファイル数・サイズを集計します。 ダウンロード
6.MemoryForensicToolkit
Windowsのメモリイメージをオフラインで分析するツールです。x86系Windows XP SP2/SP3に対応しています。
ツールの詳細はこちらを参照ください。		 ダウンロード
含まれるスクリプト
PsList全プロセスリストを表示します。
KMList全カーネルモジュールリストを表示します。
ConnList全TCPコネクション情報を表示します。
VadSearchプロセスのVAD内の文字列を検索します。
DllListプロセスがImportしたDLLを表示します。
OpenFilesプロセスがオープンしているファイルのリストを表示します。
ProcDumpプロセスをexe形式で抽出します。
Vtypes/Win32/x86上記スクリプトが使用するライブラリです。
7.蟹GREP
EnCase上でブルーチェック選択指定したバイナリファイル(など)上でランダムに日本語を検索するEnScriptです。
最新バージョンは1.0.1です。		 ダウンロード
内容物
KaniGrep.EnScriptEnScriptファイルです。
Readme.pdf説明書です。
8.蟹Pic
EnCase上でブルーチェック選択したエントリに対してシグネチャ等のキーワード(デフォルトはBase64のJpeg)を検索し、画像付きレポート指定でブックマークするEnSciprtです。
最新バージョンは1.0です。		 ダウンロード
内容物
KaniPic.EnScriptEnScriptファイルです。
Readme.pdf説明書です。
9.蟹Entropy
EnCase上でブルーチェック選択されたファイルのEntropy値を計算し、Comment欄に記載してブックマークを作成するEnSciprtです。
最新バージョンは1.0です。		 ダウンロード
内容物
KaniEntropy.EnScriptEnScriptファイルです。
Readme.pdf説明書です。

2 .NET GUIツール

1.RegDog
RegRipperインスパイア系フォレンジック調査用レジストリHiveファイルパースツールです。最新バージョンは0.9.2です。 ダウンロード
内容物
RegDog.exeコンパイル済実行ファイルです。
readme.txt使用法や諸注意事項が記載してあります。
SourceC#.Net によるプロジェクトファイルやソースが格納されたフォルダです。
(Visual Studio 2008)
中のRegDogフォルダをProjectsフォルダに配置して適宜ご使用ください。
logログを記録するためのフォルダです。
exeと同階層に配置してください。
configsXML形式によるPlugin群毎のコンフィグファイルが入ったフォルダです。
exeと同階層に配置して使用してください。
2.蟹ハンマー 壱號 ブースト
圧縮ファイルを再帰的に展開していくツールです。LGPL公開されている7zipのdllをwrapして実装しています。
最新バージョンは1.1です。		 ダウンロード
内容物
KaniHammer.exeコンパイル済実行ファイルです。
64bit_dll\7z.dll64bit環境用の7zipのDLL。
32bit_dll\7z.dll32bit環境用の7zipのDLL。
Extension.txt拡張子対応リストのサンプル。
Readme.pdf使用法や諸注意事項が記載してあります。
3.蟹源
入力されたキーワードをさまざまなパターンに展開するキーワード パターン ジェネレーターです。プレーンなテキストファイルとEnCase®でimport可能なファイルの両方が生成可能です。 ダウンロード
内容物
KaniGen.exeコンパイル済実行ファイルです。
Readme.txt使用法や諸注意事項が記載してあります。
SampleKeywordと出力例のサンプルファイルの入ったフォルダです。
バックナンバー
1.0 Hexパターン出力とフォルダ名指定がないバージョンです。
4.蟹八種
MD5、SHA-1ハッシュ値によるファイル比較を行います。 ダウンロード
[version 2:弐乃膳]
MD5、SHA-1ハッシュ値によるファイル比較、SHA-256、単一ファイルのみのハッシュ値表示、連結-単一比較を行います。		 ダウンロード
内容物
KaniHash.exeコンパイル済実行ファイルです。
Readme.txt使用法や諸注意事項が記載してあります。
5.VLICalculator
SQLite3で使われている可変長整数(Variable Length Integer Format)のデコードツールです。
例として、16進数値8F5Dを入力することで2013が得られます。		 ダウンロード
内容物
VLICalculator.exeコンパイル済実行ファイルです。
6.蟹換
HEX文字列から指定した文字コードで可読化を試行するツールです。最新はv1.4.1です。 ダウンロード
内容物
KaniCan.exeコンパイル済実行ファイルです。
Readme.txt使用法や諸注意事項が記載してあります。
7.蟹Yaffs
Yaffs2のイメージファイルをパースし、指定したフォルダ配下に階層を維持して出力します。(NANDDUMPしたイメージには対応しておりません)
最新バージョンは1.2です。		 ダウンロード
内容物
KaniYaffs.exe実行ファイルです。
Readme.pdf説明書です。
ソースコード(.NET ソリューションフォルダ) ダウンロード

3 トレーニング受講者専用ツール

トレーニング受講者専用ツール公開ページ