Try Hard Security Group

Carving & Wiederherstellungstools

Weitere Tools unter https://github.com/Claudio-C/awesome-datarecovery

Autopsy

Das am häufigsten verwendete Tool in der Forensik zum Extrahieren von Dateien aus Bildern ist Autopsy. Laden Sie es herunter, installieren Sie es und lassen Sie es die Datei aufnehmen, um "versteckte" Dateien zu finden. Beachten Sie, dass Autopsy darauf ausgelegt ist, Disk-Images und andere Arten von Images zu unterstützen, aber nicht einfache Dateien.

Binwalk

Binwalk ist ein Tool zur Analyse binärer Dateien, um eingebettete Inhalte zu finden. Es ist über apt installierbar und der Quellcode befindet sich auf GitHub.

Nützliche Befehle:

sudo apt install binwalk #Insllation
binwalk file #Displays the embedded data in the given file
binwalk -e file #Displays and extracts some files from the given file
binwalk --dd ".*" file #Displays and extracts all files from the given file

Foremost

Ein weiteres gängiges Tool zum Auffinden versteckter Dateien ist foremost. Sie können die Konfigurationsdatei von foremost unter /etc/foremost.conf finden. Wenn Sie nur nach bestimmten Dateien suchen möchten, kommentieren Sie sie aus. Wenn Sie nichts auskommentieren, sucht foremost nach den standardmäßig konfigurierten Dateitypen.

sudo apt-get install foremost
foremost -v -i file.img -o output
#Discovered files will appear inside the folder "output"

Skalpell

Skalpell ist ein weiteres Tool, das verwendet werden kann, um Dateien, die in einer Datei eingebettet sind, zu finden und extrahieren. In diesem Fall müssen Sie die Dateitypen in der Konfigurationsdatei (/etc/scalpel/scalpel.conf) auskommentieren, die Sie extrahieren möchten.

sudo apt-get install scalpel
scalpel file.img -o output

Bulk Extractor

Dieses Tool ist in Kali enthalten, aber Sie können es hier finden: https://github.com/simsong/bulk_extractor

Dieses Tool kann ein Image scannen und wird pcaps extrahieren, Netzwerkinformationen (URLs, Domains, IPs, MACs, E-Mails) und weitere Dateien. Sie müssen nur Folgendes tun:

bulk_extractor memory.img -o out_folder

PhotoRec

Sie können es unter https://www.cgsecurity.org/wiki/TestDisk_Download finden.

Es wird mit GUI- und CLI-Versionen geliefert. Sie können die Dateitypen auswählen, nach denen PhotoRec suchen soll.

binvis

Überprüfen Sie den Code und das Webseiten-Tool.

Funktionen von BinVis

• Visueller und aktiver Struktur-Viewer

• Mehrere Diagramme für verschiedene Schwerpunkte

• Fokussierung auf Teile einer Probe

• Sehen von Zeichenfolgen und Ressourcen, in PE- oder ELF-Dateien z. B.

• Erhalten von Mustern für die Kryptoanalyse von Dateien

• Erkennen von Packer- oder Encoder-Algorithmen

• Identifizieren von Steganographie anhand von Mustern

• Visuelles Binär-Diffing

BinVis ist ein großartiger Ausgangspunkt, um sich mit einem unbekannten Ziel in einem Black-Box-Szenario vertraut zu machen.

Spezifische Daten-Carving-Tools

FindAES

Sucht nach AES-Schlüsseln, indem es nach deren Schlüsselplänen sucht. Kann 128, 192 und 256-Bit-Schlüssel finden, wie sie z. B. von TrueCrypt und BitLocker verwendet werden.

Download hier.

Ergänzende Tools

Sie können viu verwenden, um Bilder aus dem Terminal anzuzeigen. Sie können das Linux-Befehlszeilentool pdftotext verwenden, um ein PDF in Text umzuwandeln und es zu lesen.

Try Hard Security Group