蟹八種 弐乃膳
2つのファイルのハッシュ値を比較し、その値とファイル一致・不一致の総合結果を表示するツール「蟹八種」のアップグレード版を作成しました。
http://www.ji2.co.jp/forensics/tools/
・ハッシュ値としてSHA-256を加えました。
・単一ファイルのハッシュ値の表示のみを可能としました。
対象1にプルダウン値「単一」の時にはファイル単体を指定、プルダウン値「結合」の時には分割したファイルが置いてあるフォルダを指定の上、「表示」して下さい。
・ファイル単体:ファイル単体、ファイル単体:フォルダ配下のファイル結合、フォルダ配下のファイル結合:フォルダ配下のファイル結合での比較を可能としました。
プルダウン値「単一」の時にはファイル単体を指定し、プルダウン値「結合」の時には分割したファイルが置いてあるフォルダを指定して下さい。
※配下フォルダは無視、愚直に結合します。本当に愚直ですので、文字列ソートによりdd.1の次にdd.10が結合されますので、命名には注意して下さい。
詳細はReadme.txtをご参照ください。
SHA-3という時代を先取りした要望もあるようですが、その時には追加されるんぢゃないかと。
蟹八種 Ver1.0
2つのファイルのMD5 / SHA-1ハッシュ値を比較し、その値とファイル一致・不一致の総合結果を表示するツールです。
ついったー等から来ている方の方が多いかもしれませんが一応ダウンロードサイト。
http://www.ji2.co.jp/forensics/tools/
MSのfcivで日本語ファイルがダメで、ぱっと調べたところ「GUIでは」いいものが見当たらなかったため作成してしまいました。
周りに聞いても、まあ、使い道ありそうとのことでリリースです。
車輪の再発明とかリサイクルならご指摘を頂ければ幸いです。
使い方は対象1、対象2に比較したいファイルを入力して「比較」するだけです。
2つのHash値比較による総合判定結果が「結果」として出ます。
MD5、SHA-1ハッシュ値の16進表記が1,2順に出ます。
出張帰りのチームリーダーから早速、単品でのハッシュ値出力、SHA-256追加、ファイル連結比較等の要望が出てきましたので、来週早速Ver 2.0を出してしまおうかという感じです。
蟹源
EnCase(R)用キーワードパターンジェネレーター「蟹源」を作成しました。
http://www.ji2.co.jp/forensics/tools/
使い方としては下記の要領となります。
1.「元キーワードリスト」に1行/1ワードで.txtのキーワードリストを指定してください。
注:この際のコードはWindows的にSJISとしています。
2.「パターン」を選択して下さい。
1) パターン作成を行わない。
キーワードはそのままで。
3.の出力形式がEnCase用のファイル形式のみとなります。
2) 半角 / 全角パターン
単純に全体を半角 / 全角に変換します。
3) 記号や文字種別で拡減幅を切り替える複雑パターン
タイプミス等による半角 / 全角の入り混じったパターンの検出用です。
新宿1丁目9番5号等、1と9と5が全角半角入り混じった場合の全パターン。
3.「出力形式」を指定して下さい。
1) 1行 / 1キーワードのプレーンテキストで出力
注:この際のコードはWindows的にSJISとしています。
2) EnCase Keyword Import / Export txt形式で出力
EnCaseのKeywordビューで使用するImport / Exportに適したtxt形式。
これで出力することにより、EnCaseのKeywordビューでImportできます。
注:この際のコードはEnCase仕様に沿ったUnicode(UTF-16LE)としています。
4.「コードページ」を指定して下さい。 - 3.で2)を選択した場合のみ
EnCaseのKeywordの文字コードパターンを指定して下さい。
予め使用しがちな物をチェックボックス化し、AnsiLatin-1とUnicodeを
デフォルトチェックしています。
その他の文字コードパターンを個別指定したい場合にはカンマ区切りで
「その他」欄に入力して下さい。
5.「実行」を押して下さい。
その他細かい注意事項等については「Readme.txt」を参照して下さい。<名前の由来>
蟹工船的に愚直にKeywordをGenerateするツール → KaniCase(※)キーワードジェネレーター → KaniwordGenerator → KaniGenといった流れで。
※4/1頃リリースされる噂があった和製フォレンジック調査ツール
RegDog 0.9.2
以前から不評だったマシン要件、.NET3.5以降での動作から.NET2.0での動作に改めました。
Windows XP SP2以降であれば問題なく動きます(の筈・・・)。
http://www.ji2.co.jp/forensics/tools/
RegDog_092.zip
その他、某所から要望のあったShellBagの仮版が同梱されています。
(ファイル仕様確認中かつ仕様未確定のため、フォルダ名のパースなど怪しげな感じも残っています)
フォルダを開いたときの位置設定等を
HKCU\Software\Microsoft\Windows\ShellNoRoam\BagMRU
から対象のNodeSlotを検索し、
HKCU\Software\Microsoft\Windows\ShellNoRoam\Bags\
で設定を拾ってきます。
[出力例]
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
- -
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
実行プラグイン:ShellBag v.20100401
表す値:フォルダ毎の表示位置 / サイズ等の設定
キーのパス:Software\Microsoft\Windows\ShellNoRoam\BagMRU
キーの最終更新日時:2010/04/06 09:02:53 +9:00
FolderName : C:\\TEMP
[ValueList]
MinPos1280x1024(1).x : 4294935296
MinPos1280x1024(1).y : 4294935296
MaxPos1280x1024(1).x : 4294967295
MaxPos1280x1024(1).y : 4294967295
WinPos1280x1024(1).left : 83
WinPos1280x1024(1).top : 88
WinPos1280x1024(1).right : 883
WinPos1280x1024(1).bottom : 688
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
- -
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
処理が大変に重くなっていますので、不要な場合はconfigs/ntuser.xmlからShellBagの
上記など重めの処理が出てくることを考え、キャンセルなどインターフェイスの改良も必要かと感じています。
RegDog 0.9.0
Abortするのは使いづらいという指摘がありましたので、想定外の値が来た場合等の処理しきれないエラー時にはロギングしつつ強制的に処理を継続するような仕様にしました。
http://www.ji2.co.jp/forensics/tools/
RegDog_090.zip
RegDog 0.8.9
TypedUrlsで想定外の値が来た場合にクラッシュするバグを修正しました。
http://www.ji2.co.jp/forensics/tools/
RegDog_089.zip