File/Data Carving & Recovery Tools

Carving & Recovery tools

More tools in https://github.com/Claudio-C/awesome-datarecovery

Autopsy

फोरेंसिक्स में छवियों से फ़ाइलें निकालने के लिए सबसे सामान्य उपकरण Autopsy है। इसे डाउनलोड करें, इंस्टॉल करें और "छिपी" फ़ाइलें खोजने के लिए इसे फ़ाइल को इनजेस्ट करने दें। ध्यान दें कि Autopsy डिस्क छवियों और अन्य प्रकार की छवियों का समर्थन करने के लिए बनाया गया है, लेकिन साधारण फ़ाइलों के लिए नहीं।

Binwalk

Binwalk एक उपकरण है जो बाइनरी फ़ाइलों का विश्लेषण करने के लिए अंतर्निहित सामग्री खोजने के लिए है। इसे apt के माध्यम से इंस्टॉल किया जा सकता है और इसका स्रोत GitHub पर है।

Useful commands:

sudo apt install binwalk #Insllation
binwalk file #Displays the embedded data in the given file
binwalk -e file #Displays and extracts some files from the given file
binwalk --dd ".*" file #Displays and extracts all files from the given file

Foremost

छिपी हुई फ़ाइलों को खोजने के लिए एक और सामान्य उपकरण foremost है। आप foremost की कॉन्फ़िगरेशन फ़ाइल /etc/foremost.conf में पा सकते हैं। यदि आप केवल कुछ विशिष्ट फ़ाइलों के लिए खोज करना चाहते हैं, तो उन्हें अनकमेंट करें। यदि आप कुछ भी अनकमेंट नहीं करते हैं, तो foremost अपनी डिफ़ॉल्ट कॉन्फ़िगर की गई फ़ाइल प्रकारों के लिए खोज करेगा।

sudo apt-get install foremost
foremost -v -i file.img -o output
#Discovered files will appear inside the folder "output"

Scalpel

Scalpel एक और उपकरण है जिसका उपयोग फाइल में एम्बेडेड फाइलों को खोजने और निकालने के लिए किया जा सकता है। इस मामले में, आपको कॉन्फ़िगरेशन फ़ाइल (/etc/scalpel/scalpel.conf) से उन फ़ाइल प्रकारों को अनकमेंट करना होगा जिन्हें आप निकालना चाहते हैं।

sudo apt-get install scalpel
scalpel file.img -o output

Bulk Extractor

यह उपकरण काली के अंदर आता है लेकिन आप इसे यहाँ पा सकते हैं: https://github.com/simsong/bulk_extractor

यह उपकरण एक इमेज को स्कैन कर सकता है और इसके अंदर pcaps को निकालेगा, नेटवर्क जानकारी (URLs, domains, IPs, MACs, mails) और अधिक फाइलें। आपको केवल यह करना है:

bulk_extractor memory.img -o out_folder

Navigate through सभी जानकारी that the tool has gathered (passwords?), विश्लेषण करें the पैकेट (read Pcaps analysis), search for अजीब डोमेन (domains related to malware or गैर-मौजूद).

PhotoRec

You can find it in https://www.cgsecurity.org/wiki/TestDisk_Download

It comes with GUI and CLI versions. You can select the फाइल-प्रकार you want PhotoRec to search for.

binvis

Check the code and the web page tool.

Features of BinVis

• Visual and active संरचना दर्शक

• Multiple plots for different focus points

• Focusing on portions of a sample

• स्ट्रिंग्स और संसाधनों को देखना, in PE or ELF executables e. g.

• Getting पैटर्न for cryptanalysis on files

• स्पॉटिंग packer or encoder algorithms

• पहचानें Steganography by patterns

• दृश्य binary-diffing

BinVis is a great शुरुआत बिंदु to get familiar with an unknown target in a black-boxing scenario.

Specific Data Carving Tools

FindAES

Searches for AES keys by searching for their key schedules. Able to find 128. 192, and 256 bit keys, such as those used by TrueCrypt and BitLocker.

Download यहाँ.

Complementary tools

You can use viu to see images from the terminal. You can use the linux command line tool pdftotext to transform a pdf into text and read it.