File/Data Carving & Recovery Tools
Probeer Hard Security Group
Uithol & Herstelgereedskap
Meer gereedskap in https://github.com/Claudio-C/awesome-datarecovery
Autopsy
Die mees algemene gereedskap wat in forensika gebruik word om lêers uit beelde te onttrek is Autopsy. Laai dit af, installeer dit en laat dit die lêer inneem om "verborge" lêers te vind. Let daarop dat Autopsy gebou is om skyfbeeld en ander soorte beelde te ondersteun, maar nie eenvoudige lêers nie.
Binwalk
Binwalk is 'n gereedskap vir die analise van binêre lêers om ingeslote inhoud te vind. Dit is installeerbaar via apt
en sy bron is op GitHub.
Nuttige bevele:
Foremost
'n Ander algemene instrument om verskuilde lêers te vind is foremost. Jy kan die opsetlêer van foremost vind in /etc/foremost.conf
. As jy net wil soek na spesifieke lêers, moet jy hulle uitkommentarieer. As jy niks uitkommentarieer nie, sal foremost soek na sy verstek geconfigureerde lêertipes.
Scalpel
Scalpel is nog 'n instrument wat gebruik kan word om lêers wat in 'n lêer ingebed is te vind en te onttrek. In hierdie geval sal jy nodig hê om uit die konfigurasie lêer (/etc/scalpel/scalpel.conf) die lêertipes wat jy wil onttrek, te ontkommentarieer.
Bulk Extractor
Hierdie instrument kom binne kali maar jy kan dit hier vind: https://github.com/simsong/bulk_extractor
Hierdie instrument kan 'n beeld skandeer en sal pcaps onttrek binne dit, netwerk inligting (URL's, domeine, IP's, MAC's, e-posse) en meer lêers. Jy hoef net te doen:
Navigeer deur alle inligting wat die instrument ingesamel het (wagwoorde?), analiseer die pakette (lees Pcaps-analise), soek na vreemde domeine (domeine verwant aan malware of nie-bestaande).
PhotoRec
Jy kan dit vind op https://www.cgsecurity.org/wiki/TestDisk_Download
Dit kom met GUI- en CLI-weergawes. Jy kan die lêertipes kies wat PhotoRec moet soek.
binvis
Kyk na die kode en die webwerf-instrument.
Kenmerke van BinVis
Visuele en aktiewe struktuurkyker
Verskeie grafieke vir verskillende fokuspunte
Fokus op dele van 'n monster
Sien van reekse en bronne, in PE of ELF uitvoerbare lêers bv.
Kry patrone vir kriptontleding van lêers
Opmerk pakketteer- of enkodeeralgoritmes
Identifiseer Steganografie deur patrone
Visuele binêre-verskil
BinVis is 'n goeie beginpunt om vertroud te raak met 'n onbekende teiken in 'n swart-boksing scenario.
Spesifieke Data Carving-instrumente
FindAES
Soek na AES-sleutels deur te soek na hul sleutelskedules. In staat om 128, 192, en 256 bit sleutels te vind, soos dié wat deur TrueCrypt en BitLocker gebruik word.
Laai af hier.
Aanvullende instrumente
Jy kan viu gebruik om beelde van die terminaal te sien. Jy kan die Linux-opdraglyn-instrument pdftotext gebruik om 'n pdf in te skakel na teks en dit te lees.
Try Hard Security Group
Last updated