File/Data Carving & Recovery Tools

カービングと回復ツール

https://github.com/Claudio-C/awesome-datarecoveryにもっと多くのツールがあります。

Autopsy

画像からファイルを抽出するためにフォレンジックで最も一般的に使用されるツールはAutopsyです。ダウンロードしてインストールし、ファイルを取り込んで「隠れた」ファイルを見つけます。Autopsyはディスクイメージや他の種類のイメージをサポートするように構築されていますが、単純なファイルには対応していないことに注意してください。

Binwalk

Binwalkは、埋め込まれたコンテンツを見つけるためにバイナリファイルを分析するツールです。aptを介してインストール可能で、そのソースはGitHubにあります。

便利なコマンド：

sudo apt install binwalk #Insllation
binwalk file #Displays the embedded data in the given file
binwalk -e file #Displays and extracts some files from the given file
binwalk --dd ".*" file #Displays and extracts all files from the given file

Foremost

もう一つの一般的なツールはforemostです。foremostの設定ファイルは/etc/foremost.confにあります。特定のファイルを検索したい場合は、それらのコメントを外してください。何もコメントを外さなければ、foremostはデフォルトで設定されたファイルタイプを検索します。

sudo apt-get install foremost
foremost -v -i file.img -o output
#Discovered files will appear inside the folder "output"

Scalpel

Scalpelは、ファイルに埋め込まれたファイルを見つけて抽出するために使用できる別のツールです。この場合、抽出したいファイルタイプを設定ファイル(/etc/scalpel/scalpel.conf)からコメント解除する必要があります。

sudo apt-get install scalpel
scalpel file.img -o output

Bulk Extractor

このツールはKaliに含まれていますが、こちらでも見つけることができます: https://github.com/simsong/bulk_extractor

このツールはイメージをスキャンし、その中にあるpcaps、ネットワーク情報（URL、ドメイン、IP、MAC、メール）、およびその他のファイルを抽出します。あなたがする必要があるのは:

bulk_extractor memory.img -o out_folder

すべての情報をナビゲートします（パスワード？）、パケットを分析します（Pcaps分析を読む）、奇妙なドメインを検索します（マルウェアや存在しないドメインに関連する）。

PhotoRec

https://www.cgsecurity.org/wiki/TestDisk_Downloadで見つけることができます。

GUIとCLIのバージョンがあります。PhotoRecが検索するファイルタイプを選択できます。

binvis

コードとウェブページツールを確認してください。

BinVisの特徴

• 視覚的でアクティブな構造ビューワー

• 異なる焦点のための複数のプロット

• サンプルの一部に焦点を当てる

• PEまたはELF実行可能ファイルの文字列とリソースを見る

• ファイルの暗号解析のためのパターンを取得

• パッカーやエンコーダアルゴリズムを特定

• パターンによるステガノグラフィの識別

• 視覚的なバイナリ差分

BinVisは、ブラックボックスシナリオで未知のターゲットに慣れるための素晴らしい出発点です。

特定のデータカービングツール

FindAES

AESキーのスケジュールを検索することでAESキーを検索します。TrueCryptやBitLockerで使用される128、192、256ビットのキーを見つけることができます。

こちらからダウンロード。

補完ツール

viuを使用してターミナルから画像を見ることができます。 Linuxコマンドラインツールpdftotextを使用してPDFをテキストに変換し、読むことができます。