File/Data Carving & Recovery Tools

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Carving & Recovery tools

Više alata na https://github.com/Claudio-C/awesome-datarecovery

Autopsy

Najčešći alat korišćen u forenzici za ekstrakciju fajlova iz slika je Autopsy. Preuzmite ga, instalirajte i omogućite mu da učita fajl kako bi pronašao "sakrivene" fajlove. Imajte na umu da je Autopsy napravljen da podržava disk slike i druge vrste slika, ali ne i obične fajlove.

Binwalk

Binwalk je alat za analizu binarnih fajlova kako bi se pronašao ugrađeni sadržaj. Može se instalirati putem apt, a njegov izvor je na GitHub.

Korisne komande:

sudo apt install binwalk #Insllation
binwalk file #Displays the embedded data in the given file
binwalk -e file #Displays and extracts some files from the given file
binwalk --dd ".*" file #Displays and extracts all files from the given file

Foremost

Još jedan uobičajen alat za pronalaženje skrivenih fajlova je foremost. Možete pronaći konfiguracioni fajl foremost u /etc/foremost.conf. Ako želite da pretražujete samo neke specifične fajlove, otkomentarišite ih. Ako ne otkomentarišete ništa, foremost će pretraživati svoje podrazumevane konfiguracione tipove fajlova.

sudo apt-get install foremost
foremost -v -i file.img -o output
#Discovered files will appear inside the folder "output"

Scalpel

Scalpel je još jedan alat koji se može koristiti za pronalaženje i ekstrakciju datoteka ugrađenih u datoteku. U ovom slučaju, potrebno je da odkomentarišete tipove datoteka iz konfiguracione datoteke (/etc/scalpel/scalpel.conf) koje želite da ekstraktujete.

sudo apt-get install scalpel
scalpel file.img -o output

Bulk Extractor

Ovaj alat dolazi unutar kali, ali ga možete pronaći ovde: https://github.com/simsong/bulk_extractor

Ovaj alat može skenirati sliku i izvući pcaps unutar nje, mrežne informacije (URL-ovi, domeni, IP-ovi, MAC-ovi, mejlovi) i još fajlova. Samo treba da uradite:

bulk_extractor memory.img -o out_folder

Navigirajte kroz sve informacije koje je alat prikupio (lozinke?), analizirajte pakete (pročitajte analizu Pcaps), pretražujte čudne domene (domene povezane sa malverom ili nepostojećim).

PhotoRec

Možete ga pronaći na https://www.cgsecurity.org/wiki/TestDisk_Download

Dolazi sa GUI i CLI verzijama. Možete odabrati tipove fajlova koje želite da PhotoRec pretražuje.

binvis

Proverite kod i web stranicu alata.

Karakteristike BinVis

Vizuelni i aktivni pregledač strukture
Više grafova za različite tačke fokusa
Fokusiranje na delove uzorka
Prikazivanje stringova i resursa, u PE ili ELF izvršnim fajlovima npr.
Dobijanje šablona za kriptoanalizu na fajlovima
Prepoznavanje pakera ili enkodera
Identifikacija steganografije po šablonima
Vizuelno binarno poređenje

BinVis je odlična polazna tačka za upoznavanje sa nepoznatim ciljem u scenariju crne kutije.

Specifični alati za carving podataka

FindAES

Pretražuje AES ključeve tražeći njihove rasporede ključeva. Sposoban je da pronađe 128, 192 i 256 bitne ključeve, kao što su oni koje koriste TrueCrypt i BitLocker.

Preuzmite ovde.

Komplementarni alati

Možete koristiti viu da vidite slike iz terminala. Možete koristiti linux komandnu liniju alat pdftotext da transformišete pdf u tekst i pročitate ga.

Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Podržite HackTricks

Proverite planove pretplate!
Pridružite se 💬 Discord grupi ili telegram grupi ili pratite nas na Twitteru 🐦 @hacktricks_live.
Podelite hakerske trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.

PreviousPartitions/File Systems/Carving NextPcap Inspection

Last updated 1 day ago