Grupo de Seguridad Try Hard

Herramientas de Carving y Recuperación

Más herramientas en https://github.com/Claudio-C/awesome-datarecovery

Autopsy

La herramienta más comúnmente utilizada en forense para extraer archivos de imágenes es Autopsy. Descárgala, instálala y haz que ingiera el archivo para encontrar archivos "ocultos". Ten en cuenta que Autopsy está diseñado para admitir imágenes de disco y otros tipos de imágenes, pero no archivos simples.

Binwalk

Binwalk es una herramienta para analizar archivos binarios y encontrar contenido incrustado. Se puede instalar a través de apt y su código fuente está en GitHub.

Comandos útiles:

sudo apt install binwalk #Insllation
binwalk file #Displays the embedded data in the given file
binwalk -e file #Displays and extracts some files from the given file
binwalk --dd ".*" file #Displays and extracts all files from the given file

Foremost

Otra herramienta común para encontrar archivos ocultos es foremost. Puedes encontrar el archivo de configuración de foremost en /etc/foremost.conf. Si solo deseas buscar archivos específicos, descoméntalos. Si no descomentas nada, foremost buscará por defecto los tipos de archivos configurados.

sudo apt-get install foremost
foremost -v -i file.img -o output
#Discovered files will appear inside the folder "output"

Scalpel

Scalpel es otra herramienta que se puede utilizar para encontrar y extraer archivos incrustados en un archivo. En este caso, deberás descomentar del archivo de configuración (/etc/scalpel/scalpel.conf) los tipos de archivo que deseas extraer.

sudo apt-get install scalpel
scalpel file.img -o output

Bulk Extractor

Esta herramienta viene incluida en kali pero puedes encontrarla aquí: https://github.com/simsong/bulk_extractor

Esta herramienta puede escanear una imagen y extraer pcaps en su interior, información de red (URLs, dominios, IPs, MACs, correos electrónicos) y más archivos. Solo tienes que hacer:

bulk_extractor memory.img -o out_folder

PhotoRec

Puedes encontrarlo en https://www.cgsecurity.org/wiki/TestDisk_Download

Viene con versiones de GUI y CLI. Puedes seleccionar los tipos de archivos que deseas que PhotoRec busque.

binvis

Verifica el código y la herramienta de la página web.

Características de BinVis

• Visualizador de estructuras visual y activo

• Múltiples gráficos para diferentes puntos de enfoque

• Enfoque en porciones de una muestra

• Ver cadenas y recursos, en ejecutables PE o ELF, por ejemplo

• Obtener patrones para criptoanálisis en archivos

• Detectar algoritmos de empaquetado o codificación

• Identificar Esteganografía por patrones

• Diferenciación binaria visual

BinVis es un excelente punto de partida para familiarizarse con un objetivo desconocido en un escenario de caja negra.

Herramientas Específicas de Recuperación de Datos

FindAES

Busca claves AES buscando sus programaciones de claves. Capaz de encontrar claves de 128, 192 y 256 bits, como las utilizadas por TrueCrypt y BitLocker.

Descarga aquí.

Herramientas Complementarias

Puedes usar viu para ver imágenes desde la terminal. Puedes usar la herramienta de línea de comandos de Linux pdftotext para transformar un PDF en texto y leerlo.

Try Hard Security Group