File/Data Carving & Recovery Tools

Carving & Recovery tools

Daha fazla araç için https://github.com/Claudio-C/awesome-datarecovery

Autopsy

Görüntülerden dosya çıkarmak için adli bilimlerde en yaygın kullanılan araç Autopsy'dir. İndirin, kurun ve "gizli" dosyaları bulmak için dosyayı içe aktarmasını sağlayın. Autopsy'nin disk görüntüleri ve diğer türdeki görüntüleri desteklemek için tasarlandığını, ancak basit dosyaları desteklemediğini unutmayın.

Binwalk

Binwalk, gömülü içeriği bulmak için ikili dosyaları analiz etmek için kullanılan bir araçtır. apt ile kurulabilir ve kaynak kodu GitHub'ta bulunmaktadır.

Kullanışlı komutlar:

sudo apt install binwalk #Insllation
binwalk file #Displays the embedded data in the given file
binwalk -e file #Displays and extracts some files from the given file
binwalk --dd ".*" file #Displays and extracts all files from the given file

Foremost

Gizli dosyaları bulmak için başka bir yaygın araç foremost'tur. Foremost'un yapılandırma dosyasını /etc/foremost.conf içinde bulabilirsiniz. Eğer sadece belirli dosyaları aramak istiyorsanız, bunların yorumunu kaldırın. Eğer hiçbir şeyi yorumdan çıkarmazsanız, foremost varsayılan olarak yapılandırılmış dosya türlerini arayacaktır.

sudo apt-get install foremost
foremost -v -i file.img -o output
#Discovered files will appear inside the folder "output"

Scalpel

Scalpel, bir dosya içinde gömülü dosyaları bulmak ve çıkarmak için kullanılabilecek bir başka araçtır. Bu durumda, çıkarmak istediğiniz dosya türlerini yapılandırma dosyasından (/etc/scalpel/scalpel.conf) yorumdan çıkarmanız gerekecektir.

sudo apt-get install scalpel
scalpel file.img -o output

Bulk Extractor

Bu araç kali içinde gelir ama burada bulabilirsiniz: https://github.com/simsong/bulk_extractor

Bu araç bir görüntüyü tarayabilir ve içindeki pcap'leri çıkartabilir, ağ bilgilerini (URL'ler, alan adları, IP'ler, MAC'ler, mailler) ve daha fazla dosyayı alabilir. Yapmanız gereken tek şey:

bulk_extractor memory.img -o out_folder

Navigate through tüm bilgileri that the tool has gathered (şifreler?), analiz et the paketleri (oku Pcaps analizi), search for garip alan adları (malware ile ilgili veya mevcut olmayan alan adları).

PhotoRec

You can find it in https://www.cgsecurity.org/wiki/TestDisk_Download

It comes with GUI and CLI versions. You can select the dosya türleri you want PhotoRec to search for.

binvis

Check the kod and the web sayfası aracı.

BinVis Özellikleri

• Görsel ve aktif yapı görüntüleyici

• Farklı odak noktaları için birden fazla grafik

• Bir örneğin bölümlerine odaklanma

• PE veya ELF yürütülebilir dosyalarda dize ve kaynakları görme

• Dosyalar üzerinde kriptoanaliz için desenler elde etme

• Paketleyici veya kodlayıcı algoritmaları belirleme

• Desenler ile Steganografi tanımlama

• Görsel ikili fark analizi

BinVis, bir kara kutu senaryosunda bilinmeyen bir hedefle tanışmak için harika bir başlangıç noktasıdır.

Özel Veri Karıştırma Araçları

FindAES

AES anahtarlarını anahtar programlarını arayarak bulur. TrueCrypt ve BitLocker gibi 128, 192 ve 256 bit anahtarları bulabilir.

Download buradan.

Tamamlayıcı araçlar

You can use viu to see images from the terminal. You can use the linux command line tool pdftotext to transform a pdf into text and read it.