Hello there, ('ω')ノ
この三連休で、Twitterにアップしたデジタルフォレンジックに関係するツール等は以下のとおりで。
Windowsのイベントログについて検索するのに便利なデータベースサイトは、いろいろとあります。
https://www.ultimatewindowssecurity.com/
日本でよく知られているのは、Elastic Stackでしょうか。
https://www.elastic.co/jp/downloads/
インシデント発生前に組織がログに記録する方法と内容、それらのログを維持する方法を明確に定義することが重要で、ログ管理ポリシーや関連する手順内で確立する必要があります。NISTがログ管理の簡単なガイドを公開しています。
https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-92.pdf
GUIベースのイベントログ分析ツールにFSProLabsがありますが、商用ツールなのでライセンスが1年に2万円以上かかります。ただ、30日の試用期間があります。
https://eventlogxp.com/
インシデントを作成、追跡、報告する支援ツールにFIRがあります。
https://github.com/certsocietegenerale/FIR/wiki/Setting-up-a-development-environment
マルウェアを分析する方法論となります。
https://zeltser.com/
市販のアンチウイルススキャナー以外で、オープンソースだとClamAVがあります。
https://www.clamav.net/
Windows OS上に構築される動的分析用のツールにFLARE VMがあります。仮想環境で使います。
https://github.com/mandiant/flare-vm
実行中のマルウェアの詳細な調査するツールにProcessExplorerがあります。各プロセスとその親プロセスを把握して、CPU使用率を調べたりと。
https://docs.microsoft.com/ja-jp/sysinternals/downloads/process-explorer
オープンソースでマルウェア分析のタスクを自動化するシステムにCuckoo Sandboxがあります。
https://bdavis-cybersecurity.blogspot.com/2016/11/cuckoo-sandbox-installation-part-1.html
マルウェア情報共有プラットフォーム ( MISP )は、検索、相関エンジン、IOCのエクスポート/インポートの機能、ユーザがデータ共有できるアプリケーションです。
https://github.com/MISP/MISP/tree/2.4/INSTALL
人気のあるオープンソースのフォレンジックディストリビューションにDEFT Linuxがあります。
https://archiveos.org/deft/
Wiresharkからキャプチャされたデータを分析するには、プロトコルとフィルタの知識が必要なので少し難しい場合は、NetworkMinerのほうがパケットキャプチャ分析には使いやすいかもです。
https://www.netresec.com/?page=NetworkMiner
PcapXrayも強力なパケットキャプチャ分析ツールです。
https://github.com/Srinivas11789/PcapXray
PCAP分析用に自動化されたツールには、PacketTotalがあります。
http://www.packettotal.com/
フォレンジックイメージをマウントできるツールとなります。
https://accessdata.com/product-download/ftk-imager-version-4-2-0
デジタル証拠の収集ができるLinuxディストリビューションにPaladinがあります。
https://sumuri.com/software/paladin/
RedCanary2022脅威検出レポートの上位10の手法となります。
https://redcanary.com/threat-detection-report/techniques/
オープンソースのメモリ取得ツールにMagnet RAM Captureがあります。
https://www.magnetforensics.com/
メモリダンプ分析で人気のあるツールです。
https://www.volatilityfoundation.org/26
YARAは、マルウェアサンプルを検出、分類の支援で開発されましたが、検索パターンを作成できるのでメモリフォレンジックにも適用できます。
https://yara.readthedocs.io/en/v4.1.0/index.html
MemProcFSで、メモリからレジストリファイルを簡単に抽出できます。
https://github.com/ufrisk/MemProcFS
メモリイメージを分析するのに機能が豊富なツールにRedlineがあります。
https://fireeye.market/apps/211364
システムリソースの監視、ソフトウェアのデバッグ、マルウェアの検出に役立つツールにProcess Hackerがあります。
https://processhacker.sourceforge.io/downloads.php
システムクラッシュダンプを分析するには、WinDbgを使います。
https://docs.microsoft.com/en-us/windows-hardware/drivers/debugger/debugger-download-tools
死後分析には実用的ではないですが、稼働中のシステムのミニダンプで機能するツールです。
https://www.nirsoft.net/utils/blue_screen_view.html
Linuxベースのシステムからメモリをダンプすることが可能なツールです。
https://github.com/504ensicsLabs/LiME
全ソースから有効なソースを探して、メモリを収集するツールです。
https://github.com/microsoft/avml
モバイルデバイスのフォレンジックのリソースです。
https://www.sans.org/posters/?focus-area=digital-forensics
ハードドライブのイメージを取得するための書き込みブロッカーのセットとアダプターおよびコネクターのセットが含まれているUltra Kitです。
https://digitalintelligence.com/products/ultrablock
MiTeC WRRは、レジストリ分析プログラムです。
https://www.mitec.cz/wrr.html
Windowsイベントログを解析できるツールにevtwalkがあります。
https://tzworks.com/prototype_page.php?proto_id=25
DCodeは、タイムスタンプを人間が読める形式に変換できるツールです。
https://www.digital-detective.net/digital-forensic-software/free-tools/
GRRは、リモートライブフォレンジックのインシデントレスポンスフレームワークです。
https://github.com/google/grr
Best regards, (^^ゞ
