====== Liste d'outils pour l'analyse Forensique ====== ===== Systemes d'exploitation ===== * [[https://github.com/vitaly-kamluk/bitscout|bitscout]] - LiveCD/LiveUSB Analyse et acquisition distante * [[https://tsurugi-linux.org/|Tsurugi]] - Distrib linux pour analyse forensique * [[https://github.com/teamdfir/sift|SANS Investigative Forensics Toolkit (sift)]] - La distrib SANS pour L'analyse forensique ===== Frameworks ===== * [[https://github.com/arxsys/dff|dff]] - Forensic framework * [[https://github.com/coinbase/dexter|dexter]] - Framework d'acquisition, extensible et sécurisé * [[https://github.com/certtools/intelmq|IntelMQ]] - IntelMQ Framwork de collecte et d'agrégation de flux TI/IOC pour la réponse a incident. * [[https://github.com/lmco/laikaboss|Laika BOSS]] - IDS avec fonctionnalité de scan et analyse d'objets * [[https://github.com/Invoke-IR/PowerForensics|PowerForensics]] - framework pour l'analyse de disque * [[https://github.com/sleuthkit/sleuthkit|The Sleuth Kit]] - Ensemble d’outils pour l'analyse forensique * [[https://github.com/google/turbinia|turbinia]] - Turbinia outils open source pour déployer, gérer, et lancer des taches sur les différentes plateforme cloud. ===== Live forensiques===== * [[https://github.com/google/grr|grr - GRR Rapid Response]] : Investigation en direct et à distance pour la réponse aux incidents (basé sur installation d'agent edr-like). * [[https://github.com/intezer/linux-explorer|Linux Expl0rer]] - Boîte à outils d'analyse en direct facile à utiliser pour les terminaux Linux, écrits en Python & Flask * [[https://github.com/mozilla/mig|mig]] - un peu comme GRR (basé sur installation d'agent edr-like) * [[https://github.com/facebook/osquery|osquery]] - Permet l'analyse du système d'exploitation en SQL ===== Traitement d'images disque ===== * [[https://sourceforge.net/projects/dc3dd/|dc3dd]] - Version améliorée de ddd * [[https://github.com/adulau/dcfldd|dcfldd]] - Différente version améliorée de dd * [[https://accessdata.com/product-download/ftk-imager-version-3.4.3/|FTK Imager]] - Outil d'imagerie gratuit pour Windows * [[https://guymager.sourceforge.io/Guymager]] - Version open source pour la création d'images disque sur les systèmes linux ===== Extractions de données ===== * [[https://github.com/EricZimmerman/bstrings|bstrings]] - Utilitaire de chaînes amélioré * [[https://github.com/simsong/bulk_extractor|bulk_extractor]] - Extrait les informations telles que les adresses email, les numéros de carte de crédit et les histrogrammes des images disque. * [[https://github.com/fireeye/flare-floss|Floss]] - Outil d'analyse statique pour désobfusquer automatiquement les chaînes de caractères des binaires de logiciels malveillants. * [[https://www.cgsecurity.org/wiki/PhotoRec|photorec]] - Outil de gravure de limes * [[https://github.com/sevagas/swap_digger|swap_digger]] - Un script bash utilisé pour automatiser l'analyse des swap Linux, automatiser l'extraction des swap et rechercher les identifiants des utilisateurs Linux, les identifiants des formulaires Web, etc. * [[https://github.com/williballenthin/EVTXtract|EVTXtract]] - Extrait des logs d’événement Windows depuis un raw. * [[https://github.com/ReFirmLabs/binwalk|binwalk]] - outils pour analyse les firmware, peut aussi service d'extraction de données. * [[http://foremost.sourceforge.net/|Foremost]] - Outils de file Carving développé par l'US Air Force. * [[https://github.com/vstinner/hachoir|hachoir3]] - Librairie Python pour voir et éditer un fichier bit a bit * [[https://github.com/sleuthkit/scalpel|Scalpel]] - un autre outil de carving, fork de foremost 0.69 * [[https://github.com/hatching/sflock|SFlock]] -Analyse de fichier (utilisé dans Cuckoo Sandbox). ===== forensiques mémoire ===== * [[https://github.com/ShaneK2/inVtero.net|inVtero.net]] - framework d'analyse de mémoire rapide, développé en.NET, supporte tous les Windows x64, inclut l'intégrité du code et le support en écriture. * [[https://github.com/denandz/KeeFarce|KeeFarce]] - Extraction des mots de passe KeePass de la mémoire * [[https://github.com/google/rekall|Rekall]] - Framework d'analyse de mémoire forensique * [[https://github.com/volatilityfoundation/volatility|volatility]] - Framework d'analyse de memoire * [[https://github.com/kevthehermit/VolUtility|VolUtility]] - Application Web pour le framework Volatility. ===== forensiques réseau ===== * [[https://tools.netsa.cert.org/silk/|SiLK Tools]] - SiLK est une suite d'outils de collecte et d'analyse du trafic réseau. * [[https://www.wireshark.org/|Wireshark]] - L'outil d'analyse du trafic réseau * [[https://github.com/marty90/netlytics/|NetLytics]] - Plate-forme d'analyse pour le traitement des données réseau sur Spark. * [[https://wiki.wireshark.org/Tools|Wireshark]] Outils & scripts : Outils et script wireshark ( il y'a un peu de tout) * [[https://www.netresec.com/?page=NetworkMiner|Network Miner]] ; Puissant Outil d'analyse de traffic Live et post mortem. ===== Artefact Windows ===== * [[https://github.com/Silv3rHorn/ArtifactExtractor|ArtifactExtractor]] - Extrait les artefacts courants de Windows à partir d'images sources et de CSV. * [[https://github.com/yampelo/beagle|Beagle]] - Transforme les sources de données et les logs en graphiques * [[https://github.com/SekoiaLab/Fastir_Collector|FastIR Collector]] - Collecteur d'artefacts sur Windows. * [[https://www.pinguin.lu/fred|FRED]] - Éditeur multiplateforme pour Microsoft Registry Hive * [[https://github.com/JPCERTCC/LogonTracer|LogonTracer]] - Etudie les connexions Windows malveillantes en visualisant et analysant le journal des événements Windows. * [[http://az4n6.blogspot.com/2015/09/whos-your-master-mft-parsers-reviewed.html|MFT-Parsers]] - Comparaison de differents parsers de MFT * [[https://github.com/aarsakian/MFTExtractor|MFTExtractor]] - Un Parser MFT * [[https://github.com/strozfriedberg/ntfs-linker|NTFS-Linker]] - Un parser de journaux NTFS * [[https://github.com/PoorBillionaire/USN-Journal-Parser|USN-Journal-Parser]] - un parser de journaux SUN NTFS * [[https://github.com/Lazza/RecuperaBit|RecuperaBit]] - Reconstruction et récupération de données NTFS * [[https://github.com/williballenthin/python-ntfs|python-ntfs]] - une librairy python pour l'analyse NTFS * [[https://github.com/williballenthin/shellbags|Shellbags]] - Clé de registre Windows * [[https://github.com/rabbitstack/fibratus|Fibratus]] - Capture l'activité du kernel windows ===== OS X Forensics ===== * [[https://github.com/ydkhatri/mac_apt|mac_apt]] (macOS Artifact Parsing Tool) - Extraits d'artefacts forensique d'images disque ou de machines live * [[https://github.com/jipegit/OSXAuditor|OSXAuditor]] - Collecteur et analyseur d'artefact OSX * [[https://github.com/Yelp/osxcollector|OSXCollector]] - outil d'analyse et de collet forensique pour OSX ===== Artefact Internet ===== * [[https://github.com/eLoopWoo/chrome-url-dumper|chrome-url-dumper]] - Dump toutes les données stockées en locales par Chrome. * [[https://github.com/obsidianforensics/hindsight|hindsight]] - Dump l'historique pour Google Chrome/Chromium ===== Analyse de Timeline ===== * [[https://github.com/log2timeline/dftimewolf|DFTimewolf]] - Framework pour orchestrer la collecte, le traitement et l'exportation des données forensiques en utilisant GRR et Rekall * [[https://github.com/log2timeline/plaso|plaso]] - Extrait les horodatages de divers fichiers et les agrège * [[https://github.com/airbus-cert/timeliner|timeliner]] - Une réécriture de mactime, un lecteur de bodyfile * [[https://github.com/google/timesketch|timesketch]] - Outil de Collaboration pour l'analyse de la chronologie forensique. ===== Traitement de l'image disque ===== * [[https://github.com/google/aff4|aff4]] - AFF4 est le format de fichier de stockage d'artefacts de google * [[https://github.com/aburgh/Disk-Arbitrator|Disk Arbitrator]] - Un utilitaire forensique Mac OS X conçu pour aider l'utilisateur à s'assurer que les procédures forensique sont bien suivies pendant l'imagerie du périphérique disque * [[https://github.com/google/docker-explorer/|docker-explorer]] - Un outil pour aider à l'acquisition et l'analyse de dockers hors ligne. * [[https://github.com/ralphje/imagemounter|imagemounter]] - Utilitaire en ligne de commandes et paquet Python pour faciliter le (dé)montage d'images de disques forensique. * [[https://github.com/libyal/libewf|libewf]] - Libewf est une bibliothèque et quelques outils pour accéder au format dExpert Witness Compression Format (EWF, E01) * [[https://www.pinguin.lu/xmount|xmount]] - Conversion entre différents formats d'image disque ===== Déchiffrement ===== * [[https://hashcat.net/hashcat/|hashcat]] - Casseur de mots de passe rapide avec support GPU * [[https://www.openwall.com/john/|John The Ripper]] - Casseur de mot de passe ===== Gestion ===== * [[https://github.com/stuhli/dfirtrack|dfirtrack]] - Application de suivi de réponse d'incident ===== Apprendre le forensique ===== * [[https://www.root-me.org/fr/Challenges/Forensic/|Root-me]] - Challenge forensique (presque)tout niveaux * [[https://www.amanhardikar.com/mindmaps/ForensicChallenges.html|forensique challenges]] - Carte mentale de challenge forensiques * [[https://frama.link/ENISA|Supports de formation ENISA]] - Supports de formation en ligne par l'European Union Agency for Network and Information Security sur différents sujets ===== extraction de donnée/metadata sur pdf ===== * pdf : https://github.com/sowdust/pdfxplr * [peepdf](http://eternal-todo.com/tools/peepdf-pdf-analysis-tool): Python tool to analyse and explore PDF files to find out if they can be harmful * [Didier Stevens' PDF tools] ( http://blog.didierstevens.com/programs/pdf-tools ) : analyse, identify and create PDF files (includes [PDFiD](http://blog.didierstevens.com/programs/pdf-tools/#pdfid), [pdf-parser] ( http://blog.didierstevens.com/programs/pdf-tools/#pdf-parser ) and [make-pdf] (http://blog.didierstevens.com/programs/pdf-tools/#make-pdf ) and mPDF) * [Opaf](http://code.google.com/p/opaf/): Open PDF Analysis Framework. Converts PDF to an XML tree that can be analyzed and modified. * [Origapy] ( http://www.decalage.info/python/origapy ): Python wrapper for the Origami Ruby module which sanitizes PDF files * [pyPDF2] ( http://mstamy2.github.io/PyPDF2/ ): pure Python PDF toolkit: extract info, spilt, merge, crop, encrypt, decrypt... * [PDFMiner](http://www.unixuser.org/~euske/python/pdfminer/index.html): extract text from PDF files * [python-poppler-qt4](https://github.com/wbsoft/python-poppler-qt4): Python binding for the Poppler PDF library, including Qt4 support * [pdfstreamdumper]( https://github.com/dzzie/pdfstreamdumper )Research tool for the analysis of malicious pdf documents. make sure to run the installer first to get all of the 3rd party dlls installed correctly. ===== Android ===== * [aft] (http://code.google.com/p/aft/): Android forensic toolkit * Apktool Decompile APK https://ibotpeaches.github.io/Apktool/ ===== Posters ===== * [[https://github.com/Invoke-IR/ForensicPosters|Poster]] - Structures de systèmes de fichiers * [[https://www.sans.org/security-resources/posters|SANS]] ''*todo*'' A Télécharger et mettre sur le repo *Traduction du repo[[https://github.com/cugu/awesome-forensics| Awesome Forensics]]