File/Data Carving & Recovery Tools

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Carving & Recovery tools

More tools in https://github.com/Claudio-C/awesome-datarecovery

Autopsy

Die mees algemene hulpmiddel wat in forensiese ondersoeke gebruik word om lêers uit beelde te onttrek, is Autopsy. Laai dit af, installeer dit en laat dit die lêer verwerk om "versteekte" lêers te vind. Let daarop dat Autopsy gebou is om skyfbeelde en ander soorte beelde te ondersteun, maar nie eenvoudige lêers nie.

Binwalk

Binwalk is 'n hulpmiddel om binêre lêers te analiseer om ingebedde inhoud te vind. Dit kan geïnstalleer word via apt en sy bron is op GitHub.

Nuttige opdragte:

sudo apt install binwalk #Insllation
binwalk file #Displays the embedded data in the given file
binwalk -e file #Displays and extracts some files from the given file
binwalk --dd ".*" file #Displays and extracts all files from the given file

Foremost

Nog 'n algemene hulpmiddel om verborge lêers te vind, is foremost. Jy kan die konfigurasielêer van foremost in /etc/foremost.conf vind. As jy net vir 'n paar spesifieke lêers wil soek, ontkommentarieer hulle. As jy niks ontkommentarieer nie, sal foremost vir sy standaard geconfigureerde lêertipes soek.

sudo apt-get install foremost
foremost -v -i file.img -o output
#Discovered files will appear inside the folder "output"

Scalpel

Scalpel is 'n ander hulpmiddel wat gebruik kan word om lêers wat in 'n lêer ingebed is te vind en te onttrek. In hierdie geval sal jy die lêertipes wat jy wil hê dit moet onttrek, uit die konfigurasie-lêer (/etc/scalpel/scalpel.conf) moet ontkommentaar.

sudo apt-get install scalpel
scalpel file.img -o output

Bulk Extractor

Hierdie hulpmiddel kom binne kali, maar jy kan dit hier vind: https://github.com/simsong/bulk_extractor

Hierdie hulpmiddel kan 'n beeld skandeer en sal pcaps daarin onttrek, netwerk inligting (URL's, domeine, IP's, MAC's, e-posse) en meer lêers. Jy hoef net te doen:

bulk_extractor memory.img -o out_folder

Navigate through alle die inligting that the tool has gathered (passwords?), analiseer the pakkette (read Pcaps analise), search for vreemde domeine (domeine related to malware or nie-bestaande).

PhotoRec

You can find it in https://www.cgsecurity.org/wiki/TestDisk_Download

It comes with GUI and CLI versions. You can select the lêer-tipes you want PhotoRec to search for.

binvis

Check the code and the web page tool.

Features of BinVis

Visual and active struktuurkyker
Multiple plots for different focus points
Focusing on portions of a sample
Sien stings en hulpbronne, in PE or ELF executables e. g.
Getting patrone for cryptanalise on files
Identifiseer packer or encoder algorithms
Identifiseer Steganografie by patrone
Visuele binêre-diffing

BinVis is a great beginpunt om bekend te raak met 'n onbekende teiken in 'n black-boxing scenario.

Spesifieke Data Carving Tools

FindAES

Searches for AES keys by searching for their key schedules. Able to find 128. 192, and 256 bit keys, such as those used by TrueCrypt and BitLocker.

Download hier.

Aanvullende gereedskap

You can use viu to see images from the terminal. You can use the linux command line tool pdftotext to transform a pdf into text and read it.

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

PreviousPartitions/File Systems/Carving NextPcap Inspection

Last updated 3 days ago