File/Data Carving & Recovery Tools
Try Hard Security Group
조각 모음 및 복구 도구
더 많은 도구: https://github.com/Claudio-C/awesome-datarecovery
Autopsy
이미지에서 파일을 추출하는 데 가장 일반적으로 사용되는 도구는 Autopsy입니다. 다운로드하고 설치한 후 파일을 처리하여 "숨겨진" 파일을 찾으십시오. Autopsy는 디스크 이미지 및 기타 유형의 이미지를 지원하도록 구축되었지만 간단한 파일은 지원하지 않습니다.
Binwalk
Binwalk은 이진 파일을 분석하여 포함된 콘텐츠를 찾는 도구입니다. apt
를 통해 설치할 수 있으며 소스는 GitHub에 있습니다.
유용한 명령어:
Foremost
또 다른 숨겨진 파일을 찾는 데 일반적으로 사용되는 도구는 foremost입니다. Foremost의 구성 파일은 /etc/foremost.conf
에 있습니다. 특정 파일을 검색하려면 해당 파일을 주석 처리하십시오. 아무것도 주석 처리하지 않으면 Foremost는 기본 구성된 파일 유형을 검색합니다.
Scalpel
Scalpel은 다른 도구로, 파일에 포함된 파일을 찾아 추출하는 데 사용할 수 있습니다. 이 경우, 추출하려는 파일 유형을 설정 파일(/etc/scalpel/scalpel.conf)에서 주석 처리 해제해야 합니다.
Bulk Extractor
이 도구는 칼리 안에 포함되어 있지만 여기에서 찾을 수 있습니다: https://github.com/simsong/bulk_extractor
이 도구는 이미지를 스캔하고 pcaps를 추출하며, 네트워크 정보(URL, 도메인, IP, MAC, 이메일) 및 더 많은 파일을 추출할 수 있습니다. 수행해야 할 작업은 다음과 같습니다:
PhotoRec
https://www.cgsecurity.org/wiki/TestDisk_Download에서 찾을 수 있습니다.
GUI 및 CLI 버전이 함께 제공됩니다. PhotoRec가 검색할 파일 유형을 선택할 수 있습니다.
binvis
BinVis의 기능
시각적이고 활성 구조 뷰어
다양한 초점 지점에 대한 여러 플롯
샘플 일부에 초점을 맞춤
PE 또는 ELF 실행 파일에서 문자열 및 리소스 확인
파일의 암호 해독 분석을 위한 패턴 획득
패커 또는 인코더 알고리즘 발견
패턴에 의한 스테가노그래피 식별
시각적 이진 차이
BinVis는 블랙박싱 시나리오에서 알 수 없는 대상에 익숙해지는 좋은 시작점입니다.
특정 데이터 조각내기 도구
FindAES
TrueCrypt 및 BitLocker에서 사용되는 것과 같이 128, 192 및 256 비트 키를 찾을 수 있는 AES 키를 찾습니다.
여기에서 다운로드하세요.
보조 도구
터미널에서 이미지를 보려면 viu 를 사용할 수 있습니다. pdf를 텍스트로 변환하고 읽기 위해 리눅스 명령 줄 도구 pdftotext를 사용할 수 있습니다.
Last updated