File/Data Carving & Recovery Tools
Carving & Recovery tools
Więcej narzędzi w https://github.com/Claudio-C/awesome-datarecovery
Autopsy
Najczęściej używane narzędzie w forensyce do ekstrakcji plików z obrazów to Autopsy. Pobierz je, zainstaluj i spraw, aby przetworzyło plik w celu znalezienia "ukrytych" plików. Zauważ, że Autopsy jest zaprojektowane do obsługi obrazów dysków i innych rodzajów obrazów, ale nie prostych plików.
Binwalk
Binwalk to narzędzie do analizy plików binarnych w celu znalezienia osadzonych treści. Można je zainstalować za pomocą apt
, a jego źródło znajduje się na GitHub.
Przydatne komendy:
Foremost
Innym powszechnym narzędziem do znajdowania ukrytych plików jest foremost. Plik konfiguracyjny foremost znajduje się w /etc/foremost.conf
. Jeśli chcesz wyszukać konkretne pliki, odkomentuj je. Jeśli nic nie odkomentujesz, foremost będzie szukać domyślnie skonfigurowanych typów plików.
Scalpel
Scalpel to kolejne narzędzie, które można wykorzystać do znajdowania i wyodrębniania plików osadzonych w pliku. W tym przypadku będziesz musiał odkomentować w pliku konfiguracyjnym (/etc/scalpel/scalpel.conf) typy plików, które chcesz, aby zostały wyodrębnione.
Bulk Extractor
To narzędzie znajduje się w Kali, ale możesz je znaleźć tutaj: https://github.com/simsong/bulk_extractor
To narzędzie może skanować obraz i wyodrębnić pcaps w nim, informacje o sieci (URL, domeny, IP, MAC, maile) i więcej plików. Musisz tylko zrobić:
Przejrzyj wszystkie informacje, które narzędzie zgromadziło (hasła?), analizuj pakiety (przeczytaj analizę Pcaps), szukaj dziwnych domen (domen związanych z złośliwym oprogramowaniem lub nieistniejących).
PhotoRec
Możesz go znaleźć pod adresem https://www.cgsecurity.org/wiki/TestDisk_Download
Dostępna jest wersja z interfejsem graficznym i wiersza poleceń. Możesz wybrać typy plików, które PhotoRec ma wyszukiwać.
binvis
Sprawdź kod oraz stronę narzędzia.
Cechy BinVis
Wizualny i aktywny podgląd struktury
Wiele wykresów dla różnych punktów skupienia
Skupienie na częściach próbki
Widzenie ciągów i zasobów, w plikach PE lub ELF, np.
Uzyskiwanie wzorców do kryptanalizy plików
Wykrywanie algorytmów pakujących lub kodujących
Identyfikacja steganografii na podstawie wzorców
Wizualna różnica binarna
BinVis to świetny punkt wyjścia, aby zapoznać się z nieznanym celem w scenariuszu black-box.
Specyficzne narzędzia do odzyskiwania danych
FindAES
Wyszukuje klucze AES, przeszukując ich harmonogramy kluczy. Może znaleźć klucze 128, 192 i 256 bitowe, takie jak te używane przez TrueCrypt i BitLocker.
Pobierz tutaj.
Narzędzia uzupełniające
Możesz użyć viu, aby zobaczyć obrazy z terminala. Możesz użyć narzędzia wiersza poleceń Linux pdftotext, aby przekształcić plik pdf w tekst i go przeczytać.
Last updated