這篇來記錄一下用過的數位鑑識工具好了. 個人認為一般人聽到Digital Forensic(數位鑑識)就會肅然起敬的一個重要原因，就在於這個業界使用的工具實在變化太快數量太多了. 即使你實力不怎麼樣, 只要你能用數位鑑識工具的名字拼湊出一個句子: ・ㄟ我昨天用了那個Cellebrite做了一隻iphone手機, 下次碰到Android的時候想用XRY試看看XRY好不好用...・ㄟ最新的Encase 8你用過沒, 我還是覺得Encase 6用的比較習慣...(用Encase 20的默默飄過...)・ㄟ我在SANS上課聽到有個新工具叫KAPE, 聽說免錢速度又快, 不知道跟FTK Imager比起來怎樣... 等等諸如此類的發言，保證在場的其他人會覺得這人不可小覷. 會有這種現象也不令人意外, 因為這些數位鑑識工具各個要價不斐. 小弟前公司即使是打著有數位鑑識調查服務, 其實主力也只有買個Encase跟FTK在用(還不一定有升級到最新版!!)。 剩下的就用公司內部自己的工具補齊（通常就是把一些免費的鑑識軟體包成一包再套上自己的Logo罷了...）。所以聽到有人有機會可以用過Cellebrite, X-Ways, Magnet AXIOM或各種族繁不及備載的炫炮新玩意兒, 簡直是口水都要流出來了... 換到現在這個公司後，變成⌈小孩子才做選擇， 公司全部給你!!! ⌋。趕緊趁上班空閒時把這些工具都稍微玩了一下。大致分類一下目前有碰過的工具, 第一種是取證類(Tools for acquisition):・Encase Imager - 說是業界標準, 但其實不用它做程序沒問題證據也會被採信. 最討厭的就是它的E01特殊規格, 很難用其他軟體打開・FTK Imager - 最常用的工具之一, 輕便好攜帶, 取證的檔案可以存成多種格式, 好處理・X-Ways - 老美主管推薦才偶爾用一下, 速度真的快但也是用自己的CTR特殊格式有時頗難處理・Cellebrite - 碰到iOS跟iPhone才會用, 使用頻率不高・AXIOM - 據說是iPhone跟Android通吃, 但我沒甚麼機會實測・XRY - 一陣子沒用了, 但之前用來跑Android手機時問題不少, 使用時確保跟XRY客服能保持聯繫比較安全(真心建議)・KAPE - SANS FOR500課程上推薦的工具, 免費快速好用. 但主要用於Triage, 無法用於整顆硬碟的取證 分析類:・Encase 6/7/8/20 - 目前公司的主力。不過都只有用它的Remote Collection功能而已。・FTK - 有用來跑過Mac的OLM檔案，其他時候其實還是會用Encase。 原因無它就是比較順手而已...・X-Ways - Filter速度超快，第一時間拿來掃整顆硬碟很適合。但UI實在是慘不忍睹。 該說是德國人設計的軟體不意外嗎?・AXIOM - 主要拿來跑PST跟分析瀏覽器。AXIOM IEF(Internet Evidence Finder)的處理能力實在強，如果沒錢的話可以考慮使用hindsight。・KAPE - 現在風頭正盛的免費Triage工具。但也可使用Module模組把其他分析用的工具統合到一起，基本上就是為了Analysis Automation開發出來的工具。...

Use DIE, CFF explorer to conduct the static analysis. Reverse C/C++ ghidra Reverse C# dnspy ILSpy dotPeek After decompiling Export the decompiled code to Microsoft Visual studio/Microsoft Visual Code, setup a remote server, try to debug the source code. Other tools for the debugging API Monitor ollydbg ⇢ attach the process for debugging Wireshark Others Feodo TrackerFeodo Tracker tracks botnet C&Cs associated with Emotet (aka Heodo), Dridex, TrickBot and QakBot GitHub - hasherezade/pe-sieve: Scans a given process. Recognizes and dumps...