File/Data Carving & Recovery Tools

Carving & Recovery tools

Більше інструментів на https://github.com/Claudio-C/awesome-datarecovery

Autopsy

Найбільш поширений інструмент, що використовується в судовій експертизі для вилучення файлів з образів, це Autopsy. Завантажте його, встановіть і дайте йому обробити файл, щоб знайти "приховані" файли. Зверніть увагу, що Autopsy створено для підтримки образів дисків та інших видів образів, але не простих файлів.

Binwalk

Binwalk - це інструмент для аналізу бінарних файлів з метою виявлення вбудованого контенту. Його можна встановити через apt, а його вихідний код доступний на GitHub.

Корисні команди:

sudo apt install binwalk #Insllation
binwalk file #Displays the embedded data in the given file
binwalk -e file #Displays and extracts some files from the given file
binwalk --dd ".*" file #Displays and extracts all files from the given file

Foremost

Ще один поширений інструмент для знаходження прихованих файлів - це foremost. Ви можете знайти файл конфігурації foremost у /etc/foremost.conf. Якщо ви хочете шукати лише деякі конкретні файли, зніміть коментарі з них. Якщо ви нічого не знімете, foremost шукатиме за типовими файлами, налаштованими за замовчуванням.

sudo apt-get install foremost
foremost -v -i file.img -o output
#Discovered files will appear inside the folder "output"

Scalpel

Scalpel - це ще один інструмент, який можна використовувати для знаходження та вилучення файлів, вбудованих у файл. У цьому випадку вам потрібно буде зняти коментарі з файлів конфігурації (/etc/scalpel/scalpel.conf) для типів файлів, які ви хочете вилучити.

sudo apt-get install scalpel
scalpel file.img -o output

Bulk Extractor

Цей інструмент входить до складу kali, але ви можете знайти його тут: https://github.com/simsong/bulk_extractor

Цей інструмент може сканувати зображення і витягувати pcaps всередині нього, мережеву інформацію (URL, домени, IP, MAC, електронні листи) та інші файли. Вам потрібно лише зробити:

bulk_extractor memory.img -o out_folder

Navigate through всю інформацію, яку зібрав інструмент (паролі?), аналізуйте пакети (читайте аналіз Pcaps), шукайте незвичні домени (домени, пов'язані з шкідливим ПЗ або неіснуючі).

PhotoRec

Ви можете знайти його за посиланням.

Він постачається з версіями GUI та CLI. Ви можете вибрати типи файлів, які хочете, щоб PhotoRec шукав.

binvis

Перевірте код та веб-сторінку інструмента.

Особливості BinVis

• Візуальний та активний переглядач структури

• Кілька графіків для різних фокусних точок

• Фокусування на частинах зразка

• Перегляд рядків та ресурсів у PE або ELF виконуваних файлах, наприклад

• Отримання шаблонів для криптоаналізу файлів

• Виявлення алгоритмів пакування або кодування

• Ідентифікація стеганографії за шаблонами

• Візуальне бінарне порівняння

BinVis є чудовою відправною точкою для ознайомлення з невідомою ціллю в сценарії чорного ящика.

Специфічні інструменти для карвінгу даних

FindAES

Шукає ключі AES, досліджуючи їх графіки ключів. Може знаходити 128, 192 та 256 бітні ключі, такі як ті, що використовуються TrueCrypt та BitLocker.

Завантажити тут.

Додаткові інструменти

Ви можете використовувати viu, щоб переглядати зображення з терміналу. Ви можете використовувати командний рядок linux pdftotext, щоб перетворити pdf у текст і прочитати його.