File/Data Carving & Recovery Tools
Groupe de sécurité Try Hard
Outils de sculpture et de récupération
Plus d'outils sur https://github.com/Claudio-C/awesome-datarecovery
Autopsy
L'outil le plus couramment utilisé en informatique légale pour extraire des fichiers à partir d'images est Autopsy. Téléchargez-le, installez-le et faites-lui ingérer le fichier pour trouver des fichiers "cachés". Notez qu'Autopsy est conçu pour prendre en charge les images de disque et d'autres types d'images, mais pas les fichiers simples.
Binwalk
Binwalk est un outil d'analyse des fichiers binaires pour trouver du contenu intégré. Il est installable via apt
et son code source se trouve sur GitHub.
Commandes utiles:
Foremost
Un autre outil courant pour trouver des fichiers cachés est foremost. Vous pouvez trouver le fichier de configuration de foremost dans /etc/foremost.conf
. Si vous voulez simplement rechercher des fichiers spécifiques, décommentez-les. Si vous ne décommentez rien, foremost recherchera les types de fichiers configurés par défaut.
Scalpel
Scalpel est un autre outil qui peut être utilisé pour trouver et extraire des fichiers intégrés dans un fichier. Dans ce cas, vous devrez décommenter dans le fichier de configuration (/etc/scalpel/scalpel.conf) les types de fichiers que vous souhaitez extraire.
Bulk Extractor
Cet outil est inclus dans Kali mais vous pouvez le trouver ici: https://github.com/simsong/bulk_extractor
Cet outil peut scanner une image et va extraire des pcaps à l'intérieur, des informations réseau (URL, domaines, IPs, MAC, adresses e-mail) et plus de fichiers. Vous n'avez qu'à faire:
PhotoRec
Vous pouvez le trouver sur https://www.cgsecurity.org/wiki/TestDisk_Download
Il est livré avec des versions GUI et CLI. Vous pouvez sélectionner les types de fichiers que vous souhaitez que PhotoRec recherche.
binvis
Consultez le code et la page web de l'outil.
Caractéristiques de BinVis
Visualiseur de structure visuelle et active
Multiples graphiques pour différents points de focalisation
Focalisation sur des parties d'un échantillon
Voir des chaînes et des ressources, dans des exécutables PE ou ELF par exemple
Obtenir des motifs pour la cryptanalyse sur des fichiers
Repérer des algorithmes de compression ou de codage
Identifier la stéganographie par des motifs
Différenciation binaire visuelle
BinVis est un excellent point de départ pour se familiariser avec une cible inconnue dans un scénario de boîte noire.
Outils spécifiques de récupération de données
FindAES
Recherche des clés AES en recherchant leurs plannings de clés. Capable de trouver des clés de 128, 192 et 256 bits, comme celles utilisées par TrueCrypt et BitLocker.
Téléchargez ici.
Outils complémentaires
Vous pouvez utiliser viu pour voir des images depuis le terminal. Vous pouvez utiliser l'outil de ligne de commande linux pdftotext pour transformer un pdf en texte et le lire.
Try Hard Security Group
Last updated