File/Data Carving & Recovery Tools
Carving & Recovery tools
더 많은 도구는 https://github.com/Claudio-C/awesome-datarecovery에서 확인하세요.
Autopsy
파일을 이미지에서 추출하는 데 가장 일반적으로 사용되는 포렌식 도구는 Autopsy입니다. 다운로드하여 설치한 후 파일을 가져와 "숨겨진" 파일을 찾으세요. Autopsy는 디스크 이미지 및 기타 종류의 이미지를 지원하도록 설계되었지만 단순 파일은 지원하지 않습니다.
Binwalk
Binwalk는 이진 파일을 분석하여 내장된 콘텐츠를 찾는 도구입니다. apt
를 통해 설치할 수 있으며 소스는 GitHub에 있습니다.
유용한 명령어:
Foremost
또 다른 일반적인 도구는 foremost입니다. foremost의 구성 파일은 /etc/foremost.conf
에 있습니다. 특정 파일을 검색하려면 주석을 제거하면 됩니다. 아무것도 주석을 제거하지 않으면 foremost는 기본적으로 구성된 파일 유형을 검색합니다.
Scalpel
Scalpel은 파일에 포함된 파일을 찾고 추출하는 데 사용할 수 있는 또 다른 도구입니다. 이 경우, 추출하려는 파일 유형을 구성 파일(/etc/scalpel/scalpel.conf)에서 주석을 제거해야 합니다.
Bulk Extractor
이 도구는 칼리 안에 포함되어 있지만 여기에서 찾을 수 있습니다: https://github.com/simsong/bulk_extractor
이 도구는 이미지를 스캔하고 그 안에서 pcap을 추출하며, 네트워크 정보 (URL, 도메인, IP, MAC, 메일) 및 더 많은 파일을 추출할 수 있습니다. 당신이 해야 할 일은:
모든 정보를 탐색하세요 (비밀번호?), 패킷을 분석하세요 (읽기: Pcaps 분석), 이상한 도메인을 검색하세요 (악성코드 또는 존재하지 않는 도메인과 관련된 도메인).
PhotoRec
GUI 및 CLI 버전이 제공됩니다. PhotoRec이 검색할 파일 유형을 선택할 수 있습니다.
binvis
BinVis의 기능
시각적이고 능동적인 구조 뷰어
다양한 초점에 대한 여러 플롯
샘플의 일부에 집중
PE 또는 ELF 실행 파일에서 문자열 및 리소스 보기
파일에 대한 암호 분석을 위한 패턴 얻기
패커 또는 인코더 알고리즘 발견
패턴으로 스테가노그래피 식별
시각적 바이너리 차이 비교
BinVis는 블랙박스 시나리오에서 알 수 없는 대상에 익숙해지기 위한 훌륭한 시작점입니다.
특정 데이터 카빙 도구
FindAES
키 스케줄을 검색하여 AES 키를 검색합니다. TrueCrypt 및 BitLocker에서 사용하는 128, 192 및 256 비트 키를 찾을 수 있습니다.
보조 도구
viu를 사용하여 터미널에서 이미지를 볼 수 있습니다. 리눅스 명령줄 도구 pdftotext를 사용하여 PDF를 텍스트로 변환하고 읽을 수 있습니다.
Last updated