すぐ使えるインシデントレスポンス用の汎用的なツールを主に書いています。
フォレンジックやバイナリ・プロトコル解析,ペネトレーションテストなど
専門性の高いツールについては,触れていません.すみません.
(2016-09-14更新)
フォレンジック
・HDD/ファイル
FTK imager lite
http://accessdata.com/product-download/digital-forensics/ftk-imager-lite-version-3.1.1
フォレンジックの要は、保全対象(アーティファクト)を汚さないこと.
Windowsのファイルシステム外から必要なファイルをイメージ(論理/物理)を取得する.
但し,HDD全体のイメージコピーは時間がかかるので,実際は臨機応変に保全範囲を決めることになる.
ちなみに,レジストリの場合はDumpSec(後述)で取得してもOK.
裁判などの証拠に使う場合は,このソフトではなく,立会人の元で専用装置を使ってやる必要あり(私は経験なし)
・メモリ
Dumpit (by moonsols社)
http://www.moonsols.com/#pricing
実行してyを押すだけ、という非常にシンプルな操作性は,緊急対応と相性が良い.
無料版は8GB以上のメモリを取得できないため,その場合は別のソフト(FTK等)を使う.
・パケット
Wireshark(後述)のオプション指定を使う.
リピーターハブなどが必要なので,事前に調達しておくこと.
おすすめ ⇒ http://www.amazon.co.jp/dp/B00FAE7XAG
プロセスツリー表示
Process Explorer (by Microsoft)
http://technet.microsoft.com/ja-jp/sysinternals/bb896653.aspx
不審なプロセスの親プロセスが何かわからないときに利用
脆弱性スキャナ
Nexpose (by Rapid7)
http://www.rapid7.com/products/nexpose/compare-downloads.jsp
個人で使う分には,Community版でOK!
事前に、スキャン対象機器の管理者相当権限のアカウント付与しておくと,
利用中のソフトウェアの一覧等,アセット管理も可能
通信状況表示
TCPView (by Microsoft)
http://technet.microsoft.com/ja-jp/sysinternals/bb897437.aspx
TCPコネクションと利用アプリケーションを関連付け
不審な通信をしようとするプロセスの発見に利用
netstat + lsofのようなイメージ
(リアルタイム表示機能のみ)
パケットキャプチャ・解析
Wireshark
https://www.wireshark.org/download.html
通信パケットをキャプチャして表示する
タイムチャート表示やリアセンブル等,解析に便利
Wiresharkが利用するwinpcapは調査用パケット生成のときにも有益
起動時自動実行プログラム一覧表示
Autoruns (by Microsoft)
http://technet.microsoft.com/ja-jp/sysinternals/bb963902.aspx
Windows起動時に自動実行されるソフトを一覧表示
Windowsの自動実行は複数のレジストリにまたがって設定されるため,
それらを横断的にチェックしてくれる.
バイナリ解析
OllyDbg
http://www.ollydbg.de/
exeファイル等のデバッガ。マシンコードやスタック領域などを
可視化できるため、バイナリ解析を行うときに利用
深く探るときは,IDAのほうが便利ではあるが,これでも十分.
(2016-09-14現在、64bit版のマルウェアの割合が増えてきているため、これらを解析するときには、x64dbgを使うとよさそう)
http://x64dbg.com/
ハッシュ計算
HashMyFile (by Nirsoft)
http://www.nirsoft.net/utils/hash_my_files.html
主要なハッシュ値を一度に計算する便利ツール
VirusTotalで調査するときや,ファイル同一性チェックのときなどに利用.
**ファイル種類特定**
TrID
http://mark0.net/soft-trid-e.html
ファイルがexeなのか、jsなのか等、種類を判定するためのツール。
実行ファイルだけでなく、定義ファイル(XML)もあらかじめダウンロードしておくと良い
IEキャッシュ表示
IECacheView (by Nirsoft)
http://www.nirsoft.net/utils/ie_cache_viewer.html
ただのブラウザキャッシュ表示ソフト.
怪しいWebサイトにつなぎに行っていないか調査するための便利ツール
ログ調査
Log Parser Studio (by Microsoft)
https://gallery.technet.microsoft.com/office/Log-Parser-Studio-cd458765
SQL形式で,ログ調査ができるようになるツール
イベントビューアでもログは調査できるが,
これを使った方が検索の効率性は上がる気がする.
HTML解析
Google Chrome
https://www.google.co.jp/chrome/browser/desktop/index.html
HTMLやJavaScriptの調査などで使用.
Chromeを起動して,F12 (またはCtrl+Shift+I)押下で表示
署名チェック
sigcheck (by Microsoft)
http://technet.microsoft.com/ja-jp/sysinternals/bb897441.aspx
あまり使いませんが,プログラムの署名の検証に利用
マシン情報取得
DumpSec
http://www.systemtools.com/somarsoft/?somarsoft.com
レジストリの情報やファイル権限を一括して取得するツール.
これ自体がマルウェア扱いとなる場合があるため注意.
パスワード調査
Cain & Abel
http://cain-abel.en.softonic.com/download
脆弱なパスワードが使われていないか検査するためのツール.
ハッシュ計算やネットワークのスニファ機能としても利用可能.
これ自体がマルウェア扱いとなる場合があるため注意.
パスワード調査
Password Recovery (by elcomsoft)
https://www.elcomsoft.com/
Office製品などのパスワードを調査するためのツール.
有償.(無償版はパスワード4文字まで)
本来セキュリティエンジニアの仕事ではないが,この手の仕事をしていると,
パスワードをこじ開けるような依頼もくるので,とりあえずこれで対応する.
怪しい通信をし始めるので,オフラインで利用すること.
SSL証明書検証ツール
Calomel SSL validator
https://calomel.org/firefox_ssl_validation.html
FireFoxのアドオン.証明書の検証が簡単に詳しくできる.
その他
Visual Studio (by Microsoft)
http://www.visualstudio.com/downloads/
プログラム開発環境.かゆいところに手が届かないときは,
これで作るのも手かもしれません.