File/Data Carving & Recovery Tools

Вивчайте хакінг AWS від нуля до героя з htARTE (HackTricks AWS Red Team Expert)!

Інші способи підтримки HackTricks:

Якщо ви хочете побачити вашу компанію рекламовану на HackTricks або завантажити HackTricks у форматі PDF, перевірте ПЛАНИ ПІДПИСКИ!
Отримайте офіційний PEASS & HackTricks мерч
Відкрийте для себе Сім'ю PEASS, нашу колекцію ексклюзивних NFT
Приєднуйтесь до 💬 групи Discord або групи Telegram або слідкуйте за нами на Twitter 🐦 @hacktricks_live.
Поділіться своїми хакерськими трюками, надсилайте PR до HackTricks та HackTricks Cloud репозиторіїв на GitHub.

Try Hard Security Group

Join the Try Hard Security Discord Server!Discord

Інструменти для відновлення та карвінгу

Більше інструментів за посиланням https://github.com/Claudio-C/awesome-datarecovery

Autopsy

Найпоширеніший інструмент, який використовується в судовій експертизі для вилучення файлів з образів - це Autopsy. Завантажте його, встановіть та використовуйте для пошуку "прихованих" файлів у файлі. Зверніть увагу, що Autopsy призначений для підтримки образів диска та інших видів образів, але не простих файлів.

Binwalk

Binwalk - це інструмент для аналізу бінарних файлів для пошуку вбудованого вмісту. Він може бути встановлений через apt, а його вихідний код знаходиться на GitHub.

Корисні команди:

sudo apt install binwalk #Insllation
binwalk file #Displays the embedded data in the given file
binwalk -e file #Displays and extracts some files from the given file
binwalk --dd ".*" file #Displays and extracts all files from the given file

Foremost

Ще один поширений інструмент для пошуку прихованих файлів - foremost. Ви можете знайти файл конфігурації foremost у /etc/foremost.conf. Якщо ви хочете лише знайти певні файли, розкоментуйте їх. Якщо ви нічого не розкоментуєте, foremost буде шукати файли типів, налаштованих за замовчуванням.

sudo apt-get install foremost
foremost -v -i file.img -o output
#Discovered files will appear inside the folder "output"

Scalpel

Scalpel - це ще один інструмент, який можна використовувати для пошуку та вилучення файлів, вбудованих у файл. У цьому випадку вам потрібно розкоментувати з конфігураційного файлу (/etc/scalpel/scalpel.conf) типи файлів, які ви хочете вилучити.

sudo apt-get install scalpel
scalpel file.img -o output

Bulk Extractor

Цей інструмент входить до складу Kali, але ви можете знайти його тут: https://github.com/simsong/bulk_extractor

Цей інструмент може сканувати зображення та витягувати pcaps всередині нього, мережеву інформацію (URL-адреси, домени, IP-адреси, MAC-адреси, пошту) та більше файлів. Вам потрібно лише виконати:

bulk_extractor memory.img -o out_folder

PhotoRec

Ви можете знайти його за посиланням https://www.cgsecurity.org/wiki/TestDisk_Download

Він поставляється з версіями GUI та CLI. Ви можете вибрати типи файлів, які ви хочете, щоб PhotoRec шукав.

binvis

Перевірте код та веб-сторінку інструменту.

Особливості BinVis

Візуальний та активний переглядач структури
Кілька графіків для різних точок фокусу
Фокусування на частинах вибірки
Побачення рядків та ресурсів, у виконуваних файлах PE або ELF, наприклад
Отримання шаблонів для криптоаналізу файлів
Виявлення алгоритмів упаковки або кодування
Визначення стеганографії за шаблонами
Візуальне порівняння бінарних файлів

BinVis - це чудова стартова точка для ознайомлення з невідомою ціллю в сценарії чорної скриньки.

Специфічні Інструменти Для Відновлення Даних

FindAES

Шукає ключі AES, шукаючи їх розклади ключів. Здатний знаходити ключі на 128, 192 та 256 біт, такі, як ті, що використовуються TrueCrypt та BitLocker.

Завантажте тут.

Доповнюючі інструменти

Ви можете використовувати viu , щоб переглядати зображення з терміналу. Ви можете використовувати інструмент командного рядка linux pdftotext, щоб перетворити pdf у текст і прочитати його.

PreviousPartitions/File Systems/Carving NextPcap Inspection

Last updated 1 month ago