File/Data Carving & Recovery Tools
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Більше інструментів на https://github.com/Claudio-C/awesome-datarecovery
Найбільш поширений інструмент, що використовується в судовій експертизі для вилучення файлів з образів, це Autopsy. Завантажте його, встановіть і дайте йому обробити файл, щоб знайти "приховані" файли. Зверніть увагу, що Autopsy створено для підтримки образів дисків та інших видів образів, але не простих файлів.
Binwalk - це інструмент для аналізу бінарних файлів з метою виявлення вбудованого контенту. Його можна встановити через apt
, а його вихідний код доступний на GitHub.
Корисні команди:
Ще один поширений інструмент для знаходження прихованих файлів - це foremost. Ви можете знайти файл конфігурації foremost у /etc/foremost.conf
. Якщо ви хочете шукати лише деякі конкретні файли, зніміть коментарі з них. Якщо ви нічого не знімете, foremost шукатиме за типовими файлами, налаштованими за замовчуванням.
Scalpel - це ще один інструмент, який можна використовувати для знаходження та вилучення файлів, вбудованих у файл. У цьому випадку вам потрібно буде зняти коментарі з файлів конфігурації (/etc/scalpel/scalpel.conf) для типів файлів, які ви хочете вилучити.
Цей інструмент входить до складу kali, але ви можете знайти його тут: https://github.com/simsong/bulk_extractor
Цей інструмент може сканувати зображення і витягувати pcaps всередині нього, мережеву інформацію (URL, домени, IP, MAC, електронні листи) та інші файли. Вам потрібно лише зробити:
Navigate through всю інформацію, яку зібрав інструмент (паролі?), аналізуйте пакети (читайте аналіз Pcaps), шукайте незвичні домени (домени, пов'язані з шкідливим ПЗ або неіснуючі).
Ви можете знайти його за посиланням.
Він постачається з версіями GUI та CLI. Ви можете вибрати типи файлів, які хочете, щоб PhotoRec шукав.
Перевірте код та веб-сторінку інструмента.
Візуальний та активний переглядач структури
Кілька графіків для різних фокусних точок
Фокусування на частинах зразка
Перегляд рядків та ресурсів у PE або ELF виконуваних файлах, наприклад
Отримання шаблонів для криптоаналізу файлів
Виявлення алгоритмів пакування або кодування
Ідентифікація стеганографії за шаблонами
Візуальне бінарне порівняння
BinVis є чудовою відправною точкою для ознайомлення з невідомою ціллю в сценарії чорного ящика.
Шукає ключі AES, досліджуючи їх графіки ключів. Може знаходити 128, 192 та 256 бітні ключі, такі як ті, що використовуються TrueCrypt та BitLocker.
Завантажити тут.
Ви можете використовувати viu, щоб переглядати зображення з терміналу. Ви можете використовувати командний рядок linux pdftotext, щоб перетворити pdf у текст і прочитати його.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)