Help us understand the problem. What is going on with this article?

セキュリティエンジニア向けツール(Windows編)

More than 3 years have passed since last update.

すぐ使えるインシデントレスポンス用の汎用的なツールを主に書いています。
フォレンジックやバイナリ・プロトコル解析,ペネトレーションテストなど
専門性の高いツールについては,触れていません.すみません.
(2016-09-14更新)


フォレンジック
・HDD/ファイル
FTK imager lite
http://accessdata.com/product-download/digital-forensics/ftk-imager-lite-version-3.1.1
フォレンジックの要は、保全対象(アーティファクト)を汚さないこと.
Windowsのファイルシステム外から必要なファイルをイメージ(論理/物理)を取得する.
但し,HDD全体のイメージコピーは時間がかかるので,実際は臨機応変に保全範囲を決めることになる.
ちなみに,レジストリの場合はDumpSec(後述)で取得してもOK.
裁判などの証拠に使う場合は,このソフトではなく,立会人の元で専用装置を使ってやる必要あり(私は経験なし)

・メモリ
Dumpit (by moonsols社)
http://www.moonsols.com/#pricing
実行してyを押すだけ、という非常にシンプルな操作性は,緊急対応と相性が良い.
無料版は8GB以上のメモリを取得できないため,その場合は別のソフト(FTK等)を使う.

・パケット
Wireshark(後述)のオプション指定を使う.
リピーターハブなどが必要なので,事前に調達しておくこと.
おすすめ ⇒ http://www.amazon.co.jp/dp/B00FAE7XAG

プロセスツリー表示
Process Explorer (by Microsoft)
http://technet.microsoft.com/ja-jp/sysinternals/bb896653.aspx
不審なプロセスの親プロセスが何かわからないときに利用

脆弱性スキャナ
Nexpose (by Rapid7)
http://www.rapid7.com/products/nexpose/compare-downloads.jsp
個人で使う分には,Community版でOK!
事前に、スキャン対象機器の管理者相当権限のアカウント付与しておくと,
利用中のソフトウェアの一覧等,アセット管理も可能

通信状況表示
TCPView (by Microsoft)
http://technet.microsoft.com/ja-jp/sysinternals/bb897437.aspx
TCPコネクションと利用アプリケーションを関連付け
不審な通信をしようとするプロセスの発見に利用
netstat + lsofのようなイメージ
(リアルタイム表示機能のみ)

パケットキャプチャ・解析
Wireshark
https://www.wireshark.org/download.html
通信パケットをキャプチャして表示する
タイムチャート表示やリアセンブル等,解析に便利
Wiresharkが利用するwinpcapは調査用パケット生成のときにも有益

起動時自動実行プログラム一覧表示
Autoruns (by Microsoft)
http://technet.microsoft.com/ja-jp/sysinternals/bb963902.aspx
Windows起動時に自動実行されるソフトを一覧表示
Windowsの自動実行は複数のレジストリにまたがって設定されるため,
それらを横断的にチェックしてくれる.

バイナリ解析
OllyDbg
http://www.ollydbg.de/
exeファイル等のデバッガ。マシンコードやスタック領域などを
可視化できるため、バイナリ解析を行うときに利用
深く探るときは,IDAのほうが便利ではあるが,これでも十分.
(2016-09-14現在、64bit版のマルウェアの割合が増えてきているため、これらを解析するときには、x64dbgを使うとよさそう)
http://x64dbg.com/

ハッシュ計算
HashMyFile (by Nirsoft)
http://www.nirsoft.net/utils/hash_my_files.html
主要なハッシュ値を一度に計算する便利ツール
VirusTotalで調査するときや,ファイル同一性チェックのときなどに利用.

**ファイル種類特定**
TrID
http://mark0.net/soft-trid-e.html
ファイルがexeなのか、jsなのか等、種類を判定するためのツール。
実行ファイルだけでなく、定義ファイル(XML)もあらかじめダウンロードしておくと良い

IEキャッシュ表示
IECacheView (by Nirsoft)
http://www.nirsoft.net/utils/ie_cache_viewer.html
ただのブラウザキャッシュ表示ソフト.
怪しいWebサイトにつなぎに行っていないか調査するための便利ツール

ログ調査
Log Parser Studio (by Microsoft)
https://gallery.technet.microsoft.com/office/Log-Parser-Studio-cd458765
SQL形式で,ログ調査ができるようになるツール
イベントビューアでもログは調査できるが,
これを使った方が検索の効率性は上がる気がする.

HTML解析
Google Chrome
https://www.google.co.jp/chrome/browser/desktop/index.html
HTMLやJavaScriptの調査などで使用.
Chromeを起動して,F12 (またはCtrl+Shift+I)押下で表示

署名チェック
sigcheck (by Microsoft)
http://technet.microsoft.com/ja-jp/sysinternals/bb897441.aspx
あまり使いませんが,プログラムの署名の検証に利用

マシン情報取得
DumpSec
http://www.systemtools.com/somarsoft/?somarsoft.com
レジストリの情報やファイル権限を一括して取得するツール.
これ自体がマルウェア扱いとなる場合があるため注意.

パスワード調査
Cain & Abel
http://cain-abel.en.softonic.com/download
脆弱なパスワードが使われていないか検査するためのツール.
ハッシュ計算やネットワークのスニファ機能としても利用可能.
これ自体がマルウェア扱いとなる場合があるため注意.

パスワード調査
Password Recovery (by elcomsoft)
https://www.elcomsoft.com/
Office製品などのパスワードを調査するためのツール.
有償.(無償版はパスワード4文字まで)
本来セキュリティエンジニアの仕事ではないが,この手の仕事をしていると,
パスワードをこじ開けるような依頼もくるので,とりあえずこれで対応する.
怪しい通信をし始めるので,オフラインで利用すること.

SSL証明書検証ツール
Calomel SSL validator
https://calomel.org/firefox_ssl_validation.html
FireFoxのアドオン.証明書の検証が簡単に詳しくできる.

その他
Visual Studio (by Microsoft)
http://www.visualstudio.com/downloads/
プログラム開発環境.かゆいところに手が届かないときは,
これで作るのも手かもしれません.

osada
しがない通信プロトコル研究者です。専門は輻輳制御。緑色の金融機関でサイバーセキュリティや仮想通貨にも取り組んでいます。CISSP, Ph.D.
Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
Comments
No comments
Sign up for free and join this conversation.
If you already have a Qiita account
Why do not you register as a user and use Qiita more conveniently?
You need to log in to use this function. Qiita can be used more conveniently after logging in.
You seem to be reading articles frequently this month. Qiita can be used more conveniently after logging in.
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
ユーザーは見つかりませんでした