Released "Poneglyph" — an offline forensic analysis tool for Active Directory NTDS.dit.
✅ Password hash extraction (hashcat compatible)
✅ BloodHound CE v5 JSON (offline, no domain join)
✅ 14-rule anomaly detection (MITRE ATT&CK mapped)
✅ Tombstone recovery
✅ Windows Server 2025 (32KB ESE pages) support
✅ Single Rust binary — no Python, no .NET
Fix PRs also submitted to libyal/libesedb #79 and sunsetkookaburra/rust-libesedb #27 — libraries many forensic tools depend on.
---
Active DirectoryのNTDS.dit用オフラインフォレンジック分析ツール「Poneglyph」を公開しました。
✅ パスワードハッシュ抽出(hashcat互換)
✅ BloodHound CE v5 JSON出力(オフライン、ドメイン参加不要)
✅ MITRE ATT&CK対応 14ルール異常検知
✅ 削除オブジェクト復元
✅ Windows Server 2025(32KB ESEページ)対応
✅ Rust単一バイナリ(Python/.NET不要)
開発中に発見したWS2025との非互換について、secretsdump等多くのツールが依存するlibesedb(#79)およびrust-libesedb(#27)にも修正PRを提出しています。マージされると嬉しいのだが。。。
https://t.co/PBZN9diAzu
#DFIR #ActiveDirectory #BloodHound #Rust #InfoSec