retoolkitのご紹介

retoolkitとは

https://github.com/mentebinaria/retoolkit
「Reverse Engineer's Toolkit」の略です。
Windows向けのリバースエンジニアリングに便利なツールキットです。
インストールすることで、右クリックメニューの「送る」に「retoolkit」の項目が追加されます。
ちなみにインストーラーは約1.1GBあります。

入っているツール(2022.10)

Android

ツール名	説明
dex2jar	dexファイルをclassファイルやjarファイルに変換、その逆ができるツール群 それ以外にもいろいろできる https://github.com/pxb1988/dex2jar

AutoIt Decompilers

ツール名	説明
Exe2Aut	Autoitというスクリプト言語で作られたexeを動的にデコンパイルするツール https://web.archive.org/web/20160221122035/https://exe2aut.com/
myAut2Exe	Autoitというスクリプト言語で作られたexeを静的にデコンパイルするツール https://web.archive.org/web/20120130194526/http://myauttoexe2.tk/

Cobalt Strike

ツール名	説明
1768	Cobalt Strikeの設定を抽出するPythonスクリプト https://github.com/DidierStevens/DidierStevensSuite/blob/master/1768.py
CobaltStrikeScan	ファイルかプロセスメモリからCobalt Strike Beaconを検知できるツール https://github.com/Apr4h/CobaltStrikeScan

Debuggers

ツール名	説明
Cutter	デバッガ https://github.com/rizinorg/cutter
HyperDbg	デバッガ https://github.com/HyperDbg/HyperDbg
x64dbg	デバッガ https://github.com/x64dbg/x64dbg

Decompilers

ツール名	説明
Ghidra	NSAが開発したデバッガ デコンパイラ https://github.com/NationalSecurityAgency/ghidra

Delphi

ツール名	説明
IDR	Interactive Delphi Reconstructor Delphiで書かれた実行ファイルのデコンパイラ https://github.com/crypto2011/IDR

Dotnet

ツール名	説明
de4dot	難読化の解除ツール https://github.com/de4dot/de4dot
dnSpyEx	デバッガ デコンパイラ アセンブリエディタであるdnSpyのフォーク https://github.com/dnSpyEx/dnSpy
ExtremeDumper	実行中のプロセスから.NETのアセンブリを抽出するツール https://github.com/wwh1004/ExtremeDumper
ILSpy	デバッガ デコンパイラ https://github.com/icsharpcode/ILSpy
RunDotNetDll	.NETアセンブリからメソッドをリストし実行するツール https://github.com/enkomio/RunDotNetDll

ELF

ツール名	説明
elfparser-ng	ELFファイルの解析ツールELF Parserのフォーク https://github.com/mentebinaria/elfparser-ng

Hex Editors

ツール名	説明
Fhex	Hex Editor https://github.com/echo-devim/fhex
HxD	Hex Editor https://mh-nexus.de/en/hxd/
ImHex	Hex Editor https://github.com/WerWolv/ImHex
REHex	Reverse Engineers' Hex Editor https://github.com/solemnwarning/rehex

Java Decompilers

ツール名	説明
jadx	Javaデコンパイラ https://github.com/skylot/jadx
JD-GUI	Javaデコンパイラ https://github.com/java-decompiler/jd-gui
Recaf	Javaデコンパイラ バイトコードエディタ https://github.com/Col-E/Recaf

Network Tools

ツール名	説明
Echo Mirage	プロセスの通信をインターセプトするツール https://sourceforge.net/projects/echomirage.oldbutgold.p/

OLE Tools

ツール名	説明
lessmsi	Less MSIérables msiインストーラーのデータ抽出 https://github.com/activescott/lessmsi
OfficeMalScanner	Office関連のファイルからスクリプトが埋め込まれてないかなどを調べられる http://www.reconstructer.org/
oledump	OLE形式のファイルを解析するPythonスクリプト https://github.com/DidierStevens/DidierStevensSuite/blob/master/oledump.py
oletools	OLE形式のファイルを解析するツール群 https://github.com/decalage2/oletools
SSView	Structed Storage Viewer OLE形式のファイルの構造を表示する https://www.mitec.cz/ssv.html
XLMMacroDeobfuscator	難読化されたXLMマクロの難読化を解除するツール https://github.com/DissectMalware/XLMMacroDeobfuscator

PDF

ツール名	説明
pdf-parser	PDFからファイルを抽出するPythonスクリプト https://github.com/DidierStevens/DidierStevensSuite/blob/master/pdf-parser.py
pdfid	PDFファイルを解析するPythonスクリプト https://github.com/DidierStevens/DidierStevensSuite/blob/master/pdfid.py

PE Analysers

ツール名	説明
capa	PEファイル内の機能を特定するツール https://github.com/mandiant/capa
DIE	Detect It Easy PEファイルの情報が見れるツール https://github.com/horsicq/Detect-It-Easy
ExEinfo PE	PEファイルの解析ツール https://download.cnet.com/ExEinfo-PE/3000-2248_4-10523354.html
FLOSS	FLARE Obfuscated String Solver PEファイルから難読化された文字列を抽出するツール https://github.com/mandiant/flare-floss
PE-bear	PEファイルの解析ツール https://github.com/hasherezade/pe-bear
PeStudio	PEファイルの解析ツール https://www.winitor.com/
pev	PEファイルの解析ツール群 https://github.com/merces/pev
Redress	GOバイナリの解析ツール https://github.com/goretk/redress
ResourceHacker	PEファイル内のファイル抽出、書き換えツール http://www.angusj.com/resourcehacker/
WinAPI Search	Win32関数名からPEファイルを検索するツール https://dennisbabkin.com/winapisearch/

Processmonitors

ツール名	説明
API Monitor	プロセスのAPIコールを監視 制御するツール http://www.rohitab.com/apimonitor
FileGrab	新しく生成されたファイルを監視するツール https://github.com/mentebinaria/filegrab
hollows_hunter	実行中の全てのプロセスをスキャンして改変を見つけ出してダンプするツール https://github.com/hasherezade/hollows_hunter
PE-sieve	プロセスをスキャンして改変を見つけ出してダンプするツール https://github.com/hasherezade/pe-sieve
Process Hacker	強いタスクマネージャー https://processhacker.sourceforge.io/ https://github.com/winsiderss/systeminformer
System Exporter	実行中のプロセスからテキストボックスやコントローラー内のデータをダンプするツール https://github.com/zodiacon/SystemExplorer

Programming

ツール名	説明
Embarcadero Dev-C++	C++ https://github.com/Embarcadero/Dev-Cpp/
flat assembler	アセンブリ言語のツール https://flatassembler.net/
WinPython	Python https://github.com/winpython/winpython

Signaturetools

ツール名	説明
YARA	YARA https://github.com/VirusTotal/yara

Unpacking

ツール名	説明
NoVmp	VMProtectの暗号化解除ツール https://github.com/can1357/NoVmp
Quick Unpack	アンパッカー https://ahteam.org/
UPX	the Ultimate Packer for eXecutables 実行ファイルを圧縮したり解凍したりするツール https://github.com/upx/upx
XVolkolak	アンパッカー http://ntinfo.biz/index.html#xvolkolak

Utilities

ツール名	説明
7-Zip	圧縮 解凍ツール https://www.7-zip.org/
Bazzer	マルウェアのサンプルをダウンロードしたりURLがブラックリスト入りしているか調べるツール https://github.com/AandersonL/bazzar
CyberChef	エンコード デコード エニグマの解読 暗号化 復号化 とにかくそういうのが何でもできるツール https://gchq.github.io/CyberChef/
Entropy	複数ファイルからエントロピーを算出するツール https://github.com/merces/entropy
Error Lookup	Windows APIのエラーコードからその説明を調べられるツール https://github.com/henrypp/errorlookup
ForceToolkit	無効化されたチェックボックスやテキストボックスを有効化したり常にウィンドを手前に表示させるツール https://autoclose.net/forcetoolkit.html
manw	Windows APIを調べられるman https://github.com/leandrofroes/manw
Notepad++	テキストエディタ https://notepad-plus-plus.org/
OpenHashTab	ファイルのプロパティからハッシュ値を表示するツール 特に設定しなくともインストールすると勝手に有効化される https://github.com/namazso/OpenHashTab
VirusTotal CLI	CLIからVirusTotalにアクセスするツール https://github.com/VirusTotal/vt-cli
winapiexec	CLIからWinows APIを実行するツール https://rammichael.com/winapiexec