File/Data Carving & Recovery Tools

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Try Hard Security Group

Join the Try Hard Security Discord Server!Discord

Carving & Recovery tools

Więcej narzędzi w https://github.com/Claudio-C/awesome-datarecovery

Autopsy

Najczęściej używane narzędzie w forensyce do ekstrakcji plików z obrazów to Autopsy. Pobierz je, zainstaluj i spraw, aby przetworzyło plik w celu znalezienia "ukrytych" plików. Zauważ, że Autopsy jest zaprojektowane do obsługi obrazów dysków i innych rodzajów obrazów, ale nie prostych plików.

Binwalk

Binwalk to narzędzie do analizy plików binarnych w celu znalezienia osadzonych treści. Można je zainstalować za pomocą apt, a jego źródło znajduje się na GitHub.

Przydatne polecenia:

sudo apt install binwalk #Insllation
binwalk file #Displays the embedded data in the given file
binwalk -e file #Displays and extracts some files from the given file
binwalk --dd ".*" file #Displays and extracts all files from the given file

Foremost

Innym powszechnym narzędziem do znajdowania ukrytych plików jest foremost. Możesz znaleźć plik konfiguracyjny foremost w /etc/foremost.conf. Jeśli chcesz wyszukać konkretne pliki, odkomentuj je. Jeśli nic nie odkomentujesz, foremost będzie szukać domyślnie skonfigurowanych typów plików.

sudo apt-get install foremost
foremost -v -i file.img -o output
#Discovered files will appear inside the folder "output"

Scalpel

Scalpel to kolejne narzędzie, które można wykorzystać do znajdowania i wyodrębniania plików osadzonych w pliku. W tym przypadku będziesz musiał odkomentować w pliku konfiguracyjnym (/etc/scalpel/scalpel.conf) typy plików, które chcesz, aby zostały wyodrębnione.

sudo apt-get install scalpel
scalpel file.img -o output

Bulk Extractor

To narzędzie znajduje się w Kali, ale możesz je znaleźć tutaj: https://github.com/simsong/bulk_extractor

To narzędzie może skanować obraz i wyodrębniać pcaps w nim, informacje o sieci (URL, domeny, IP, MAC, maile) i więcej plików. Musisz tylko zrobić:

bulk_extractor memory.img -o out_folder

Przejrzyj wszystkie informacje, które narzędzie zebrało (hasła?), analizuj pakiety (przeczytaj analizę Pcaps), szukaj dziwnych domen (domen związanych z złośliwym oprogramowaniem lub nieistniejącymi).

PhotoRec

Możesz go znaleźć pod adresem https://www.cgsecurity.org/wiki/TestDisk_Download

Dostępna jest wersja z interfejsem graficznym i wiersza poleceń. Możesz wybrać typy plików, które PhotoRec ma wyszukiwać.

binvis

Sprawdź kod i stronę narzędzia.

Cechy BinVis

Wizualny i aktywny podgląd struktury
Wiele wykresów dla różnych punktów skupienia
Skupienie na częściach próbki
Widzenie ciągów i zasobów, w plikach PE lub ELF, np.
Uzyskiwanie wzorców do kryptanalizy plików
Wykrywanie algorytmów pakujących lub kodujących
Identyfikacja steganografii na podstawie wzorców
Wizualna różnica binarna

BinVis to świetny punkt wyjścia, aby zapoznać się z nieznanym celem w scenariuszu black-box.

Specyficzne narzędzia do wydobywania danych

FindAES

Wyszukuje klucze AES, przeszukując ich harmonogramy kluczy. Może znaleźć klucze 128, 192 i 256 bitowe, takie jak te używane przez TrueCrypt i BitLocker.

Pobierz tutaj.

Narzędzia uzupełniające

Możesz użyć viu, aby zobaczyć obrazy z terminala. Możesz użyć narzędzia wiersza poleceń Linux pdftotext, aby przekształcić plik pdf w tekst i go przeczytać.

Try Hard Security Group

Join the Try Hard Security Discord Server!Discord

Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)

Wsparcie dla HackTricks

Sprawdź plany subskrypcyjne!
Dołącz do 💬 grupy Discord lub grupy telegram lub śledź nas na Twitterze 🐦 @hacktricks_live.
Dziel się trikami hackingowymi, przesyłając PR-y do HackTricks i HackTricks Cloud repozytoriów github.

PreviousPartitions/File Systems/Carving NextPcap Inspection

Last updated 8 days ago