File/Data Carving & Recovery Tools
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Więcej narzędzi w https://github.com/Claudio-C/awesome-datarecovery
Najczęściej używane narzędzie w forensyce do ekstrakcji plików z obrazów to Autopsy. Pobierz je, zainstaluj i spraw, aby przetworzyło plik w celu znalezienia "ukrytych" plików. Zauważ, że Autopsy jest zaprojektowane do obsługi obrazów dysków i innych rodzajów obrazów, ale nie prostych plików.
Binwalk to narzędzie do analizy plików binarnych w celu znalezienia osadzonych treści. Można je zainstalować za pomocą apt
, a jego źródło znajduje się na GitHub.
Przydatne polecenia:
Innym powszechnym narzędziem do znajdowania ukrytych plików jest foremost. Plik konfiguracyjny foremost znajduje się w /etc/foremost.conf
. Jeśli chcesz wyszukać konkretne pliki, odkomentuj je. Jeśli nic nie odkomentujesz, foremost będzie szukać domyślnie skonfigurowanych typów plików.
Scalpel to kolejne narzędzie, które można wykorzystać do znajdowania i wydobywania plików osadzonych w pliku. W tym przypadku będziesz musiał odkomentować w pliku konfiguracyjnym (/etc/scalpel/scalpel.conf) typy plików, które chcesz, aby zostały wydobyte.
To narzędzie znajduje się w Kali, ale możesz je znaleźć tutaj: https://github.com/simsong/bulk_extractor
To narzędzie może skanować obraz i wyodrębniać pcaps w nim, informacje o sieci (URL, domeny, IP, MAC, maile) i więcej plików. Musisz tylko zrobić:
Przejrzyj wszystkie informacje, które narzędzie zgromadziło (hasła?), analizuj pakiety (przeczytaj analizę Pcaps), szukaj dziwnych domen (domen związanych z złośliwym oprogramowaniem lub nieistniejącymi).
Możesz go znaleźć pod adresem https://www.cgsecurity.org/wiki/TestDisk_Download
Dostępna jest wersja z interfejsem graficznym i wiersza poleceń. Możesz wybrać typy plików, które PhotoRec ma wyszukiwać.
Sprawdź kod i stronę narzędzia.
Wizualny i aktywny podgląd struktury
Wiele wykresów dla różnych punktów skupienia
Skupienie na częściach próbki
Widzenie ciągów i zasobów, w plikach wykonywalnych PE lub ELF, np.
Uzyskiwanie wzorców do kryptanalizy plików
Wykrywanie algorytmów pakujących lub kodujących
Identyfikacja steganografii na podstawie wzorców
Wizualna różnica binarna
BinVis to świetny punkt wyjścia, aby zapoznać się z nieznanym celem w scenariuszu black-box.
Wyszukuje klucze AES, przeszukując ich harmonogramy kluczy. Może znaleźć klucze 128, 192 i 256 bitowe, takie jak te używane przez TrueCrypt i BitLocker.
Pobierz tutaj.
Możesz użyć viu, aby zobaczyć obrazy z terminala. Możesz użyć narzędzia wiersza poleceń Linux pdftotext, aby przekształcić plik pdf w tekst i go przeczytać.
Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)