File/Data Carving & Recovery Tools
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Weitere Tools unter https://github.com/Claudio-C/awesome-datarecovery
Das am häufigsten verwendete Tool in der Forensik zum Extrahieren von Dateien aus Bildern ist Autopsy. Laden Sie es herunter, installieren Sie es und lassen Sie es die Datei verarbeiten, um "versteckte" Dateien zu finden. Beachten Sie, dass Autopsy entwickelt wurde, um Festplattenabbilder und andere Arten von Bildern zu unterstützen, jedoch keine einfachen Dateien.
Binwalk ist ein Tool zur Analyse von Binärdateien, um eingebettete Inhalte zu finden. Es kann über apt
installiert werden und der Quellcode befindet sich auf GitHub.
Nützliche Befehle:
Ein weiteres gängiges Tool, um versteckte Dateien zu finden, ist foremost. Die Konfigurationsdatei von foremost finden Sie unter /etc/foremost.conf
. Wenn Sie nur nach bestimmten Dateien suchen möchten, kommentieren Sie diese aus. Wenn Sie nichts auskommentieren, sucht foremost nach den standardmäßig konfigurierten Dateitypen.
Scalpel ist ein weiteres Tool, das verwendet werden kann, um Dateien, die in einer Datei eingebettet sind, zu finden und zu extrahieren. In diesem Fall müssen Sie die Dateitypen, die Sie extrahieren möchten, aus der Konfigurationsdatei (/etc/scalpel/scalpel.conf) auskommentieren.
Dieses Tool ist in Kali enthalten, kann aber hier gefunden werden: https://github.com/simsong/bulk_extractor
Dieses Tool kann ein Image scannen und wird pcaps darin extrahieren, Netzwerkinformationen (URLs, Domains, IPs, MACs, Mails) und weitere Dateien. Sie müssen nur Folgendes tun:
Navigieren Sie durch alle Informationen, die das Tool gesammelt hat (Passwörter?), analysieren Sie die Pakete (lesen Sie Pcaps-Analyse), suchen Sie nach seltsamen Domains (Domains, die mit Malware oder nicht existierenden in Verbindung stehen).
Sie finden es unter https://www.cgsecurity.org/wiki/TestDisk_Download
Es kommt mit GUI- und CLI-Versionen. Sie können die Dateitypen auswählen, nach denen PhotoRec suchen soll.
Überprüfen Sie den Code und die Webseite des Tools.
Visueller und aktiver Struktur-Viewer
Mehrere Plots für verschiedene Fokuspunkte
Fokussierung auf Teile einer Probe
Anzeigen von Strings und Ressourcen, in PE- oder ELF-Executables z. B.
Erhalten von Mustern für die Kryptoanalyse von Dateien
Erkennen von Packer- oder Encoder-Algorithmen
Identifizieren von Steganographie durch Muster
Visuelles binäres Differenzieren
BinVis ist ein großartiger Ausgangspunkt, um sich mit einem unbekannten Ziel in einem Black-Box-Szenario vertraut zu machen.
Sucht nach AES-Schlüsseln, indem es nach ihren Schlüsselschemata sucht. In der Lage, 128, 192 und 256 Bit Schlüssel zu finden, wie sie von TrueCrypt und BitLocker verwendet werden.
Laden Sie hier herunter.
Sie können viu verwenden, um Bilder aus dem Terminal anzuzeigen. Sie können das Linux-Befehlszeilen-Tool pdftotext verwenden, um ein PDF in Text umzuwandeln und es zu lesen.
Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)