1

More than 1 year has passed since last update.

完走賞用Advent Calendar 2022Day 3

retoolkitのご紹介

リバースエンジニアリング

Last updated at 2023-02-18Posted at 2022-12-02

retoolkitとは

https://github.com/mentebinaria/retoolkit
「Reverse Engineer's Toolkit」の略です。
Windows向けのリバースエンジニアリングに便利なツールキットです。
インストールすることで、右クリックメニューの「送る」に「retoolkit」の項目が追加されます。
ちなみにインストーラーは約1.1GBあります。

入っているツール(2022.10)

Android

ツール名	説明
dex2jar	dexファイルをclassファイルやjarファイルに変換、その逆ができるツール群それ以外にもいろいろできる https://github.com/pxb1988/dex2jar

AutoIt Decompilers

ツール名	説明
Exe2Aut	Autoitというスクリプト言語で作られたexeを動的にデコンパイルするツール https://web.archive.org/web/20160221122035/https://exe2aut.com/
myAut2Exe	Autoitというスクリプト言語で作られたexeを静的にデコンパイルするツール https://web.archive.org/web/20120130194526/http://myauttoexe2.tk/

Cobalt Strike

ツール名	説明
1768	Cobalt Strikeの設定を抽出するPythonスクリプト https://github.com/DidierStevens/DidierStevensSuite/blob/master/1768.py
CobaltStrikeScan	ファイルかプロセスメモリからCobalt Strike Beaconを検知できるツール https://github.com/Apr4h/CobaltStrikeScan

Debuggers

ツール名	説明
Cutter	デバッガ https://github.com/rizinorg/cutter
HyperDbg	デバッガ https://github.com/HyperDbg/HyperDbg
x64dbg	デバッガ https://github.com/x64dbg/x64dbg

Decompilers

ツール名	説明
Ghidra	NSAが開発したデバッガデコンパイラ https://github.com/NationalSecurityAgency/ghidra

Delphi

ツール名	説明
IDR	Interactive Delphi Reconstructor Delphiで書かれた実行ファイルのデコンパイラ https://github.com/crypto2011/IDR

Dotnet

ツール名	説明
de4dot	難読化の解除ツール https://github.com/de4dot/de4dot
dnSpyEx	デバッガデコンパイラアセンブリエディタであるdnSpyのフォーク https://github.com/dnSpyEx/dnSpy
ExtremeDumper	実行中のプロセスから.NETのアセンブリを抽出するツール https://github.com/wwh1004/ExtremeDumper
ILSpy	デバッガデコンパイラ https://github.com/icsharpcode/ILSpy
RunDotNetDll	.NETアセンブリからメソッドをリストし実行するツール https://github.com/enkomio/RunDotNetDll

ELF

ツール名	説明
elfparser-ng	ELFファイルの解析ツールELF Parserのフォーク https://github.com/mentebinaria/elfparser-ng

Hex Editors

ツール名	説明
Fhex	Hex Editor https://github.com/echo-devim/fhex
HxD	Hex Editor https://mh-nexus.de/en/hxd/
ImHex	Hex Editor https://github.com/WerWolv/ImHex
REHex	Reverse Engineers' Hex Editor https://github.com/solemnwarning/rehex

Java Decompilers

ツール名	説明
jadx	Javaデコンパイラ https://github.com/skylot/jadx
JD-GUI	Javaデコンパイラ https://github.com/java-decompiler/jd-gui
Recaf	Javaデコンパイラバイトコードエディタ https://github.com/Col-E/Recaf

Network Tools

ツール名	説明
Echo Mirage	プロセスの通信をインターセプトするツール https://sourceforge.net/projects/echomirage.oldbutgold.p/

OLE Tools

ツール名	説明
lessmsi	Less MSIérables msiインストーラーのデータ抽出 https://github.com/activescott/lessmsi
OfficeMalScanner	Office関連のファイルからスクリプトが埋め込まれてないかなどを調べられる http://www.reconstructer.org/
oledump	OLE形式のファイルを解析するPythonスクリプト https://github.com/DidierStevens/DidierStevensSuite/blob/master/oledump.py
oletools	OLE形式のファイルを解析するツール群 https://github.com/decalage2/oletools
SSView	Structed Storage Viewer OLE形式のファイルの構造を表示する https://www.mitec.cz/ssv.html
XLMMacroDeobfuscator	難読化されたXLMマクロの難読化を解除するツール https://github.com/DissectMalware/XLMMacroDeobfuscator

PDF

ツール名	説明
pdf-parser	PDFからファイルを抽出するPythonスクリプト https://github.com/DidierStevens/DidierStevensSuite/blob/master/pdf-parser.py
pdfid	PDFファイルを解析するPythonスクリプト https://github.com/DidierStevens/DidierStevensSuite/blob/master/pdfid.py

PE Analysers

ツール名	説明
capa	PEファイル内の機能を特定するツール https://github.com/mandiant/capa
DIE	Detect It Easy PEファイルの情報が見れるツール https://github.com/horsicq/Detect-It-Easy
ExEinfo PE	PEファイルの解析ツール https://download.cnet.com/ExEinfo-PE/3000-2248_4-10523354.html
FLOSS	FLARE Obfuscated String Solver PEファイルから難読化された文字列を抽出するツール https://github.com/mandiant/flare-floss
PE-bear	PEファイルの解析ツール https://github.com/hasherezade/pe-bear
PeStudio	PEファイルの解析ツール https://www.winitor.com/
pev	PEファイルの解析ツール群 https://github.com/merces/pev
Redress	GOバイナリの解析ツール https://github.com/goretk/redress
ResourceHacker	PEファイル内のファイル抽出、書き換えツール http://www.angusj.com/resourcehacker/
WinAPI Search	Win32関数名からPEファイルを検索するツール https://dennisbabkin.com/winapisearch/

Processmonitors

ツール名	説明
API Monitor	プロセスのAPIコールを監視制御するツール http://www.rohitab.com/apimonitor
FileGrab	新しく生成されたファイルを監視するツール https://github.com/mentebinaria/filegrab
hollows_hunter	実行中の全てのプロセスをスキャンして改変を見つけ出してダンプするツール https://github.com/hasherezade/hollows_hunter
PE-sieve	プロセスをスキャンして改変を見つけ出してダンプするツール https://github.com/hasherezade/pe-sieve
Process Hacker	強いタスクマネージャー https://processhacker.sourceforge.io/ https://github.com/winsiderss/systeminformer
System Exporter	実行中のプロセスからテキストボックスやコントローラー内のデータをダンプするツール https://github.com/zodiacon/SystemExplorer

Programming

ツール名	説明
Embarcadero Dev-C++	C++ https://github.com/Embarcadero/Dev-Cpp/
flat assembler	アセンブリ言語のツール https://flatassembler.net/
WinPython	Python https://github.com/winpython/winpython

Signaturetools

ツール名	説明
YARA	YARA https://github.com/VirusTotal/yara

Unpacking

ツール名	説明
NoVmp	VMProtectの暗号化解除ツール https://github.com/can1357/NoVmp
Quick Unpack	アンパッカー https://ahteam.org/
UPX	the Ultimate Packer for eXecutables 実行ファイルを圧縮したり解凍したりするツール https://github.com/upx/upx
XVolkolak	アンパッカー http://ntinfo.biz/index.html#xvolkolak

Utilities

ツール名	説明
7-Zip	圧縮解凍ツール https://www.7-zip.org/
Bazzer	マルウェアのサンプルをダウンロードしたりURLがブラックリスト入りしているか調べるツール https://github.com/AandersonL/bazzar
CyberChef	エンコードデコードエニグマの解読暗号化復号化とにかくそういうのが何でもできるツール https://gchq.github.io/CyberChef/
Entropy	複数ファイルからエントロピーを算出するツール https://github.com/merces/entropy
Error Lookup	Windows APIのエラーコードからその説明を調べられるツール https://github.com/henrypp/errorlookup
ForceToolkit	無効化されたチェックボックスやテキストボックスを有効化したり常にウィンドを手前に表示させるツール https://autoclose.net/forcetoolkit.html
manw	Windows APIを調べられるman https://github.com/leandrofroes/manw
Notepad++	テキストエディタ https://notepad-plus-plus.org/
OpenHashTab	ファイルのプロパティからハッシュ値を表示するツール特に設定しなくともインストールすると勝手に有効化される https://github.com/namazso/OpenHashTab
VirusTotal CLI	CLIからVirusTotalにアクセスするツール https://github.com/VirusTotal/vt-cli
winapiexec	CLIからWinows APIを実行するツール https://rammichael.com/winapiexec

1

Register as a new user and use Qiita more conveniently

You get articles that match your needs
You can efficiently read back useful information
You can use dark theme

What you can do with signing up

1