Outils d'utilisateurs

Outils du Site


outils_forensic

Différences

Cette page vous donne les différences entre la révision choisie et la version actuelle de la page.

Lien vers cette vue

outils_forensic [2018/11/21 16:44]
M0N5T3R créée
outils_forensic [2019/10/14 19:17] (Version actuelle)
M0N5T3R
Ligne 1: Ligne 1:
-  * Liste à puceTestdisk  +====== Liste d'outils pour l'analyse Forensique ====== 
-Idéal pour retrouver les données d'un disque corrompu + 
 + 
 + 
 + 
 +===== Systemes d'exploitation ===== 
 + 
 +  * [[https://github.com/vitaly-kamluk/bitscout|bitscout]] - LiveCD/LiveUSB Analyse et acquisition distante 
 +  * [[https://tsurugi-linux.org/|Tsurugi]] - Distrib linux pour analyse forensique 
 +  * [[https://github.com/teamdfir/sift|SANS Investigative Forensics Toolkit (sift)]] - La distrib SANS pour L'analyse forensique 
 + 
 +=====  Frameworks ===== 
 + 
 +  * [[https://github.com/arxsys/dff|dff]] - Forensic framework 
 +  * [[https://github.com/coinbase/dexter|dexter]] - Framework d'acquisition, extensible et sécurisé 
 +  * [[https://github.com/certtools/intelmq|IntelMQ]] - IntelMQ Framwork de collecte et d'agrégation de flux TI/IOC pour la réponse a incident. 
 +  * [[https://github.com/lmco/laikaboss|Laika BOSS]] - IDS avec fonctionnalité de scan et analyse d'objets 
 +  * [[https://github.com/Invoke-IR/PowerForensics|PowerForensics]] - framework pour l'analyse de disque 
 +  * [[https://github.com/sleuthkit/sleuthkit|The Sleuth Kit]] - Ensemble d’outils pour l'analyse forensique 
 +  * [[https://github.com/google/turbinia|turbinia]] - Turbinia outils open source pour déployer, gérer, et lancer des taches sur les différentes plateforme cloud.  
 + 
 + 
 +===== Live forensiques=====  
 + 
 + 
 +  * [[https://github.com/google/grr|grr - GRR Rapid Response]] : Investigation en direct et à distance pour la réponse aux incidents (basé sur installation d'agent edr-like). 
 +  * [[https://github.com/intezer/linux-explorer|Linux Expl0rer]] - Boîte à outils d'analyse en direct facile à utiliser pour les terminaux Linux, écrits en Python & Flask 
 +  * [[https://github.com/mozilla/mig|mig]] - un peu comme GRR (basé sur installation d'agent edr-like) 
 +  * [[https://github.com/facebook/osquery|osquery]] - Permet l'analyse du système d'exploitation en SQL 
 + 
 +=====  Traitement d'images disque =====  
 + 
 + 
 +  * [[https://sourceforge.net/projects/dc3dd/|dc3dd]] - Version améliorée de ddd 
 +  * [[https://github.com/adulau/dcfldd|dcfldd]] - Différente version améliorée de dd  
 +  * [[https://accessdata.com/product-download/ftk-imager-version-3.4.3/|FTK Imager]] - Outil d'imagerie gratuit pour Windows 
 +  * [[https://guymager.sourceforge.io/Guymager]] - Version open source pour la création d'images disque sur les systèmes linux 
 + 
 +=====  Extractions de données =====  
 + 
 +  * [[https://github.com/EricZimmerman/bstrings|bstrings]] - Utilitaire de chaînes amélioré 
 +  * [[https://github.com/simsong/bulk_extractor|bulk_extractor]] - Extrait les informations telles que les adresses email, les numéros de carte de crédit et les histrogrammes des images disque. 
 +  * [[https://github.com/fireeye/flare-floss|Floss]] - Outil d'analyse statique pour désobfusquer automatiquement les chaînes de caractères des binaires de logiciels malveillants. 
 +  * [[https://www.cgsecurity.org/wiki/PhotoRec|photorec]] - Outil de gravure de limes 
 +  * [[https://github.com/sevagas/swap_digger|swap_digger]] - Un script bash utilisé pour automatiser l'analyse des swap Linux, automatiser l'extraction des swap et rechercher les identifiants des utilisateurs Linux, les identifiants des formulaires Web, etc. 
 +  * [[https://github.com/williballenthin/EVTXtract|EVTXtract]] - Extrait des logs d’événement Windows depuis un raw. 
 +  * [[https://github.com/ReFirmLabs/binwalk|binwalk]] - outils pour analyse les firmware, peut aussi service d'extraction de données. 
 +  * [[http://foremost.sourceforge.net/|Foremost]] - Outils de file Carving développé par l'US Air Force. 
 +  * [[https://github.com/vstinner/hachoir|hachoir3]] - Librairie Python pour voir et éditer un fichier bit a bit 
 +  * [[https://github.com/sleuthkit/scalpel|Scalpel]] - un autre outil de carving, fork de foremost 0.69 
 +  * [[https://github.com/hatching/sflock|SFlock]] -Analyse de fichier (utilisé dans Cuckoo Sandbox). 
 +===== forensiques mémoire =====  
 + 
 +  * [[https://github.com/ShaneK2/inVtero.net|inVtero.net]] -  framework d'analyse de mémoire rapide, développé en.NET, supporte tous les Windows x64, inclut l'intégrité du code et le support en écriture. 
 +  * [[https://github.com/denandz/KeeFarce|KeeFarce]] - Extraction des mots de passe KeePass de la mémoire 
 +  * [[https://github.com/google/rekall|Rekall]] - Framework d'analyse de mémoire forensique 
 +  * [[https://github.com/volatilityfoundation/volatility|volatility]] - Framework d'analyse de memoire 
 +  * [[https://github.com/kevthehermit/VolUtility|VolUtility]] - Application Web pour le framework Volatility. 
 +===== forensiques réseau =====  
 + 
 +  * [[https://tools.netsa.cert.org/silk/|SiLK Tools]] - SiLK est une suite d'outils de collecte et d'analyse du trafic réseau. 
 +  * [[https://www.wireshark.org/|Wireshark]] - L'outil d'analyse du trafic réseau 
 +  * [[https://github.com/marty90/netlytics/|NetLytics]] - Plate-forme d'analyse pour le traitement des données réseau sur Spark. 
 +  * [[https://wiki.wireshark.org/Tools|Wireshark]] Outils & scripts : Outils et script wireshark ( il y'a un peu de tout) 
 +  * [[https://www.netresec.com/?page=NetworkMiner|Network Miner]] ; Puissant Outil d'analyse de traffic Live et post mortem. 
 + 
 +===== Artefact Windows =====  
 + 
 +  * [[https://github.com/Silv3rHorn/ArtifactExtractor|ArtifactExtractor]] - Extrait les artefacts courants de Windows à partir d'images sources et de CSV. 
 +  * [[https://github.com/yampelo/beagle|Beagle]] - Transforme les sources de données et les logs en graphiques 
 +  * [[https://github.com/SekoiaLab/Fastir_Collector|FastIR Collector]] - Collecteur d'artefacts sur Windows. 
 +  * [[https://www.pinguin.lu/fred|FRED]] - Éditeur  multiplateforme pour Microsoft Registry Hive  
 +  * [[https://github.com/JPCERTCC/LogonTracer|LogonTracer]] - Etudie les connexions Windows malveillantes en visualisant et analysant le journal des événements Windows. 
 +  * [[http://az4n6.blogspot.com/2015/09/whos-your-master-mft-parsers-reviewed.html|MFT-Parsers]] - Comparaison de differents parsers de MFT 
 +  * [[https://github.com/aarsakian/MFTExtractor|MFTExtractor]] - Un Parser MFT 
 +  * [[https://github.com/strozfriedberg/ntfs-linker|NTFS-Linker]] - Un parser de journaux NTFS 
 +  * [[https://github.com/PoorBillionaire/USN-Journal-Parser|USN-Journal-Parser]] - un parser de journaux SUN NTFS 
 +  * [[https://github.com/Lazza/RecuperaBit|RecuperaBit]] - Reconstruction et récupération de données NTFS 
 +  * [[https://github.com/williballenthin/python-ntfs|python-ntfs]] - une librairy python pour l'analyse NTFS 
 +  * [[https://github.com/williballenthin/shellbags|Shellbags]] - Clé de registre Windows 
 +  * [[https://github.com/rabbitstack/fibratus|Fibratus]] - Capture l'activité du kernel windows 
 + 
 +=====  OS X Forensics =====  
 + 
 +  * [[https://github.com/ydkhatri/mac_apt|mac_apt]] (macOS Artifact Parsing Tool) - Extraits d'artefacts forensique d'images disque ou de machines live 
 +  * [[https://github.com/jipegit/OSXAuditor|OSXAuditor]] - Collecteur et analyseur d'artefact OSX 
 +  * [[https://github.com/Yelp/osxcollector|OSXCollector]] - outil d'analyse et de collet forensique pour OSX  
 +=====  Artefact Internet =====  
 + 
 +  * [[https://github.com/eLoopWoo/chrome-url-dumper|chrome-url-dumper]] - Dump toutes les données stockées en locales par Chrome. 
 +  * [[https://github.com/obsidianforensics/hindsight|hindsight]] - Dump l'historique pour Google Chrome/Chromium 
 +===== Analyse de Timeline =====  
 + 
 +  * [[https://github.com/log2timeline/dftimewolf|DFTimewolf]] - Framework pour orchestrer la collecte, le traitement et l'exportation des données forensiques en utilisant GRR et Rekall 
 +  * [[https://github.com/log2timeline/plaso|plaso]] - Extrait les horodatages de divers fichiers et les agrège 
 +  * [[https://github.com/airbus-cert/timeliner|timeliner]] - Une réécriture de mactime, un lecteur de bodyfile 
 +  * [[https://github.com/google/timesketch|timesketch]] - Outil de Collaboration pour l'analyse de la chronologie forensique. 
 +===== Traitement de l'image disque =====  
 + 
 +  * [[https://github.com/google/aff4|aff4]] - AFF4 est le format de fichier de stockage d'artefacts de google 
 +  * [[https://github.com/aburgh/Disk-Arbitrator|Disk Arbitrator]] - Un utilitaire forensique Mac OS X conçu pour aider l'utilisateur à s'assurer que les procédures forensique sont bien suivies pendant l'imagerie du périphérique disque 
 +  * [[https://github.com/google/docker-explorer/|docker-explorer]] - Un outil pour aider à  l'acquisition et l'analyse de dockers hors ligne. 
 +  * [[https://github.com/ralphje/imagemounter|imagemounter]] - Utilitaire en ligne de commandes et paquet Python pour faciliter le (dé)montage d'images de disques forensique. 
 +  * [[https://github.com/libyal/libewf|libewf]] - Libewf est une bibliothèque et quelques outils pour accéder au format dExpert Witness Compression Format  (EWF, E01) 
 +  * [[https://www.pinguin.lu/xmount|xmount]] - Conversion entre différents formats d'image disque 
 + 
 +=====  Déchiffrement =====  
 + 
 +  * [[https://hashcat.net/hashcat/|hashcat]] - Casseur de mots de passe rapide avec support GPU 
 +  * [[https://www.openwall.com/john/|John The Ripper]] - Casseur de mot de passe 
 +=====  Gestion =====  
 + 
 +  * [[https://github.com/stuhli/dfirtrack|dfirtrack]] - Application de suivi de réponse d'incident 
 +=====  Apprendre le forensique =====  
 + 
 +  * [[https://www.root-me.org/fr/Challenges/Forensic/|Root-me]] - Challenge forensique (presque)tout niveaux 
 +  * [[https://www.amanhardikar.com/mindmaps/ForensicChallenges.html|forensique challenges]]  - Carte mentale de challenge forensiques 
 +  * [[https://frama.link/ENISA|Supports de formation ENISA]] - Supports de formation en ligne par l'European Union Agency for Network and Information Security sur différents sujets  
 + 
 +===== extraction de donnée/metadata sur pdf ===== 
 +  * pdf :  https://github.com/sowdust/pdfxplr 
 +  * [peepdf](http://eternal-todo.com/tools/peepdf-pdf-analysis-tool):   Python tool to analyse and explore PDF files to find out if they can be harmful     
 +  * [Didier Stevens' PDF  tools] ( http://blog.didierstevens.com/programs/pdf-tools ) : analyse, identify and create PDF files (includes  [PDFiD](http://blog.didierstevens.com/programs/pdf-tools/#pdfid), [pdf-parser] ( http://blog.didierstevens.com/programs/pdf-tools/#pdf-parser ) and [make-pdf] (http://blog.didierstevens.com/programs/pdf-tools/#make-pdf ) and mPDF) 
 +  * [Opaf](http://code.google.com/p/opaf/): Open PDF Analysis Framework. Converts PDF to an XML tree that can be analyzed and modified. 
 +  * [Origapy] ( http://www.decalage.info/python/origapy ): Python wrapper for the Origami Ruby module which sanitizes PDF files 
 +  * [pyPDF2] ( http://mstamy2.github.io/PyPDF2/ ): pure Python PDF toolkit: extract info, spilt, merge, crop, encrypt, decrypt... 
 +  * [PDFMiner](http://www.unixuser.org/~euske/python/pdfminer/index.html): extract text from PDF files 
 +  * [python-poppler-qt4](https://github.com/wbsoft/python-poppler-qt4): Python binding for the Poppler PDF library, including Qt4 support 
 +  * [pdfstreamdumper](  https://github.com/dzzie/pdfstreamdumper  )Research tool for the analysis of malicious pdf documents. make sure to run the installer first to get all of the 3rd party dlls installed correctly. 
 +  
 + 
 +===== Android ===== 
 +  * [aft] (http://code.google.com/p/aft/): Android forensic toolkit 
 +  * Apktool Decompile APK https://ibotpeaches.github.io/Apktool/  
 + 
 +=====  Posters =====  
 + 
 +  * [[https://github.com/Invoke-IR/ForensicPosters|Poster]] - Structures de systèmes de fichiers 
 +  * [[https://www.sans.org/security-resources/posters|SANS]] ''*todo*'' A Télécharger et mettre sur le repo 
 + 
 + 
 +*Traduction du repo[[https://github.com/cugu/awesome-forensics| Awesome Forensics]]
outils_forensic.txt · Dernière modification: 2019/10/14 19:17 par M0N5T3R