File/Data Carving & Recovery Tools
Try Hard Security Group
切割和恢复工具
更多工具请查看https://github.com/Claudio-C/awesome-datarecovery
Autopsy
在取证中最常用的用于从图像中提取文件的工具是Autopsy。下载、安装并让其摄取文件以查找“隐藏”文件。请注意,Autopsy旨在支持磁盘映像和其他类型的映像,而不是简单文件。
Binwalk
Binwalk是用于分析二进制文件以查找嵌入内容的工具。可通过apt
安装,其源代码位于GitHub上。
有用的命令:
Foremost
另一个常用工具来查找隐藏文件是 foremost。您可以在 /etc/foremost.conf
中找到 foremost 的配置文件。如果您只想搜索一些特定文件,请取消注释。如果您不取消任何注释,foremost 将搜索其默认配置的文件类型。
Scalpel
Scalpel 是另一个工具,可用于查找和提取嵌入在文件中的文件。在这种情况下,您需要从配置文件(/etc/scalpel/scalpel.conf)中取消注释您希望提取的文件类型。
Bulk Extractor
这个工具包含在kali中,但你也可以在这里找到它:https://github.com/simsong/bulk_extractor
这个工具可以扫描一个镜像,并且会提取其中的pcaps,网络信息(URLs、域名、IP地址、MAC地址、邮件)以及更多文件。你只需要执行:
浏览工具收集的所有信息(密码?),分析 数据包(阅读Pcaps分析),搜索奇怪的域名(与恶意软件或不存在相关的域名)。
PhotoRec
您可以在https://www.cgsecurity.org/wiki/TestDisk_Download找到它。
它带有GUI和CLI版本。您可以选择要PhotoRec搜索的文件类型。
binvis
BinVis的特点
可视化和活跃的结构查看器
不同焦点的多个绘图
专注于样本的部分
在PE或ELF可执行文件中查看字符串和资源
从文件中获取用于密码分析的模式
发现打包程序或编码器算法
通过模式识别隐写术
视觉二进制差异
BinVis是在黑盒测试场景中熟悉未知目标的绝佳起点。
特定数据切割工具
FindAES
通过搜索其密钥计划来搜索AES密钥。能够找到128、192和256位密钥,例如TrueCrypt和BitLocker使用的密钥。
在此处下载here。
互补工具
您可以使用viu在终端中查看图像。 您可以使用Linux命令行工具pdftotext将PDF转换为文本并阅读它。
Try Hard Security Group
最后更新于