蟹GREP v0.9
EnCase上でバイナリファイルなどに対し無作為に日本語検索をかけ、周囲のデータを調べて調査に利用する為のEnScript、「蟹GREP」を公開しております。
どちらにしても週明けに更新することが見えていますので、手を抜きますm(__)m
気になった方は試しに使ってみて下さい。
元々は仮名文字のみを検索し、繋げたりしながら周りも見るという「KaniGram」的な感じでしたが、Skipやノイズが多いなぁという感想で漢字仮名交じりを入れてみたのでGREPになりました。<ダウンロード>
http://www.ji2.co.jp/forensics/tools/
<使い方>
[漢字仮名交じり検索]
1) 検索対象としたいファイル・エントリーをブルーチェック選択します。
2) 3.の漢字最小文字数を指定します。
3) 4.の漢字最大文字数を指定します。
4) 5.の仮名最小文字数を指定します。
5) 6.の仮名最大文字数を指定します。
6) 1.の最小繰り返し数を指定します。
7) 2.の最大繰り返し数を指定します。
8) 8.以降の文字コードで必要なものを指定します。
9) OKを押します。
10) RESULT_日付時間のBOOKMARKフォルダが作成されます。
11) その後、検索が走ります。
検索終了後ブックマークが付けれらます。
これらの様子はConsoleビューで確認できます。
これが選択エントリー分繰り返されます。
12) 右端のKaniGrepのゲージが消えたら終了です。←分かりにくい(--;)
13) 適宜TextStyleを変更、適宜蟹換等を使用して内容を確認して下さい。
[仮名のみ検索]←元来の姿+α
1) 検索対象としたいファイル・エントリーをブルーチェック選択します。
2) 3.の漢字最小文字数に0を指定します。
3) 1.の最小繰り返し数を指定します。
4) 2.の最大繰り返し数を指定します。
5) 8.以降の文字コードで必要なものを指定します。
6) OKを押します。
7) RESULT_日付時間のBOOKMARKフォルダが作成されます。
8) その後、検索が走ります。
検索終了後ブックマークが付けれらます。
これらの様子はConsoleビューで確認できます。
これが選択エントリー分繰り返されます。
9) 右端のKaniGrepのゲージが消えたら終了です。←分かりにくい(--;)
10) 適宜TextStyleを変更、適宜蟹換等を使用して内容を確認して下さい。
<コメント>
並び順分かりにくいと自分でも反省、カナ・かなの切り分け検索ができないと早くもクレーム。
蟹換 v1.3
HEX文字列 → 可読文字列変換(試行)ツール「蟹換」の改良リクエスト対応しました。
今日午前中に2回目の更新になってしまいますが・・・
<ダウンロード>
http://www.ji2.co.jp/forensics/tools/
<変更点>
・変換対象の入力欄をマルチラインにしました。
・今まで問答無用に変換エラー扱い(空文字表示)にしていたNULLを含む文字列を代替文字の使用により表示可能としました。
→指定しない場合は□となります。
・配置を若干変更しました。
・結果表示コンソール部分のフォント指定を可能にしました。変換後も動的に変更可能です。
・結果表示コンソール部分にもクリアボタンを付けました。<コメント>
フォントは気まぐれで変えると元のMS UI Gothicに戻すのが面倒だったりします。
必要がない場合はあまり無暗に弄らない方がよいかもしれません。
蟹換 v1.2.1
HEX文字列 → 可読文字列変換(試行)ツール「蟹換」の改良リクエスト対応しました。
<ダウンロード>
http://www.ji2.co.jp/forensics/tools/
<変更点>
基本的な機能の変更はありません。
・id:kikuzouさんよりリクエストがありましたバージョン表示に対応しました。
・入力欄を広げ、若干配置の調整を行いました。<コメント>
画像を手元のフリーソフトで(これより)縮めたら文字がぼやけたのでちょっとはみ出してます。
入力欄をマルチラインにしようとしましたが、改行を放り込まれたときの処理が面倒!と横に広げてみました。
蟹換 v1.2
HEX文字列 → 可読文字列変換(試行)ツール「蟹換」の改良リクエスト対応しました。
今回の主な変更点は、
・ファイルによる指定を削除し、入力欄の幅を拡張、クリアボタン追加。
・Unicodeだけでなく、全文字コードでの1バイト分ヅラした値表示に対応。
となっています。
改良リクエストと共にこちらで言及されていたサロゲートペアですが、
.NET自体はきちんと変換を行うようです。
フォントの絡みでVistaより前のWindowsでは正しく表示されない、という問題のようで。
下記よりフォントパッケージをダウンロード・インストールすると上の画像のようにホッケやジョーが正しく表示されます。
http://www.microsoft.com/japan/windows/products/windowsvista/jp_font/jis04/default.mspx
ちなみに、Windows 7ではデフォルトでホッケが表示されることを確認しました。
蟹換
HEX文字列 / バイナリ → 可読文字列変換(試行)ツール「蟹換」をUPしました。
再発明系ぢゃねーか?というツッコミがあればお待ちしています。
<ダウンロードページ>
http://www.ji2.co.jp/forensics/tools/
<使い方>
1. 変換対象のタイプを選択して下さい。
2. 変換対象を入力して下さい。
1) 1でHEX文字入力を選択した場合、文字列を入力して下さい。
例えば、EnCaseのHEXビューあたりからコピーした物を貼り付けるなど。
↑これが今回の作成を行った理由。
2) 1で変換対象がファイルの場合にはファイルパスを選択 / 入力 / ドラッグドロップして下さい。
3. 1でHEX文字列入力・ファイルを選び選択可能になっている場合デリミタ / 接頭を選んで下さい。
現状、スペース、\x、0x、%のみとなっています。
4. 変換を試みたい文字コードを選択もしくは入力して下さい。
チェックボックスと同じコードページ番号が指定された場合でも愚直に実行します。
5. 「実行」ボタンを押して下さい。
6. コンソールで結果を確認し、必要があれば「ファイル書出」によりテキスト保存を行って下さい。
7. 終了の際は「終了」ボタンを押して下さい。<コメント>
16進数が羅列してあるだけのファイルやバイナリからの変換は蛇足だったかもしれません。こっそり消えるかもしれません。
蟹源 Ver.2
EnCase(R)での使用をメイン目的とするキーワードパターンジェネレーター「蟹源」をバージョンUPしました。
http://www.ji2.co.jp/forensics/tools/
基本的なところはVer.1の方をご参照ください。
http://d.hatena.ne.jp/mark-of-distinction/20100412/
主な変更点は下記となります。
1.GREP用HEX出力
「出力形式」に"EnCase(R) Keyword Import/Export txt形式でHEX出力"を追加し、指定コードページでのGREP検索用Hex文字列への変換値を記述したEnCase Import/Export形式でのEnCaseファイル出力を可能としました。
※JISの前後のエスケープシーケンスは除外します。Readme.txtをご参照ください。
※CP50222は.NETでの変換により「蟹カニカニ」など途中で半角全角などが変わる場合の間のエスケープシーケンスが消えてしまうようです。詳細は調査中です。
2.キーワードフォルダ名
EnCase(R)でインポートした際にキーワードグループとしてのフォルダを作成するための「キーワードフォルダ名」を追加しました。