File/Data Carving & Recovery Tools

Carving & Recovery tools

Weitere Tools unter https://github.com/Claudio-C/awesome-datarecovery

Autopsy

Das am häufigsten verwendete Tool in der Forensik zum Extrahieren von Dateien aus Bildern ist Autopsy. Laden Sie es herunter, installieren Sie es und lassen Sie es die Datei verarbeiten, um "versteckte" Dateien zu finden. Beachten Sie, dass Autopsy entwickelt wurde, um Festplattenabbilder und andere Arten von Bildern zu unterstützen, jedoch keine einfachen Dateien.

Binwalk

Binwalk ist ein Tool zur Analyse von Binärdateien, um eingebettete Inhalte zu finden. Es kann über apt installiert werden und sein Quellcode befindet sich auf GitHub.

Nützliche Befehle:

sudo apt install binwalk #Insllation
binwalk file #Displays the embedded data in the given file
binwalk -e file #Displays and extracts some files from the given file
binwalk --dd ".*" file #Displays and extracts all files from the given file

Foremost

Ein weiteres gängiges Tool, um versteckte Dateien zu finden, ist foremost. Die Konfigurationsdatei von foremost befindet sich in /etc/foremost.conf. Wenn Sie nur nach bestimmten Dateien suchen möchten, kommentieren Sie diese aus. Wenn Sie nichts auskommentieren, sucht foremost nach den standardmäßig konfigurierten Dateitypen.

sudo apt-get install foremost
foremost -v -i file.img -o output
#Discovered files will appear inside the folder "output"

Scalpel

Scalpel ist ein weiteres Tool, das verwendet werden kann, um Dateien, die in einer Datei eingebettet sind, zu finden und zu extrahieren. In diesem Fall müssen Sie die Dateitypen, die Sie extrahieren möchten, aus der Konfigurationsdatei (/etc/scalpel/scalpel.conf) auskommentieren.

sudo apt-get install scalpel
scalpel file.img -o output

Bulk Extractor

Dieses Tool ist in Kali enthalten, kann aber hier gefunden werden: https://github.com/simsong/bulk_extractor

Dieses Tool kann ein Image scannen und wird pcaps darin extrahieren, Netzwerkinformationen (URLs, Domains, IPs, MACs, Mails) und weitere Dateien. Sie müssen nur Folgendes tun:

bulk_extractor memory.img -o out_folder

Navigieren Sie durch alle Informationen, die das Tool gesammelt hat (Passwörter?), analysieren Sie die Pakete (lesen Sie Pcaps-Analyse), suchen Sie nach seltsamen Domains (Domains, die mit Malware oder nicht existierenden in Verbindung stehen).

PhotoRec

Sie finden es unter https://www.cgsecurity.org/wiki/TestDisk_Download

Es kommt mit GUI- und CLI-Versionen. Sie können die Dateitypen auswählen, nach denen PhotoRec suchen soll.

binvis

Überprüfen Sie den Code und die Webseite des Tools.

Funktionen von BinVis

• Visueller und aktiver Struktur-Viewer

• Mehrere Plots für verschiedene Fokuspunkte

• Fokussierung auf Teile einer Probe

• Anzeigen von Strings und Ressourcen, in PE- oder ELF-Executables z. B.

• Erhalten von Mustern für die Kryptoanalyse von Dateien

• Erkennen von Packer- oder Encoder-Algorithmen

• Identifizieren von Steganographie durch Muster

• Visuelles binäres Differenzieren

BinVis ist ein großartiger Ausgangspunkt, um sich mit einem unbekannten Ziel in einem Black-Box-Szenario vertraut zu machen.

Spezifische Daten-Carving-Tools

FindAES

Sucht nach AES-Schlüsseln, indem es nach ihren Schlüsselschemata sucht. In der Lage, 128, 192 und 256 Bit Schlüssel zu finden, wie sie von TrueCrypt und BitLocker verwendet werden.

Laden Sie hier herunter.

Ergänzende Tools

Sie können viu verwenden, um Bilder aus dem Terminal anzuzeigen. Sie können das Linux-Befehlszeilen-Tool pdftotext verwenden, um ein PDF in Text umzuwandeln und es zu lesen.