File/Data Carving & Recovery Tools
Try Hard Security Group
Інструменти для відновлення та карвінгу
Більше інструментів за посиланням https://github.com/Claudio-C/awesome-datarecovery
Autopsy
Найпоширеніший інструмент, який використовується в судовій експертизі для вилучення файлів з образів - це Autopsy. Завантажте його, встановіть та використовуйте для пошуку "прихованих" файлів у файлі. Зверніть увагу, що Autopsy призначений для підтримки образів диска та інших видів образів, але не простих файлів.
Binwalk
Binwalk - це інструмент для аналізу бінарних файлів для пошуку вбудованого вмісту. Він може бути встановлений через apt
, а його вихідний код знаходиться на GitHub.
Корисні команди:
Foremost
Ще один поширений інструмент для пошуку прихованих файлів - foremost. Ви можете знайти файл конфігурації foremost у /etc/foremost.conf
. Якщо ви хочете лише знайти певні файли, розкоментуйте їх. Якщо ви нічого не розкоментуєте, foremost буде шукати файли типів, налаштованих за замовчуванням.
Scalpel
Scalpel - це ще один інструмент, який можна використовувати для пошуку та вилучення файлів, вбудованих у файл. У цьому випадку вам потрібно розкоментувати з конфігураційного файлу (/etc/scalpel/scalpel.conf) типи файлів, які ви хочете вилучити.
Bulk Extractor
Цей інструмент входить до складу Kali, але ви можете знайти його тут: https://github.com/simsong/bulk_extractor
Цей інструмент може сканувати зображення та витягувати pcaps всередині нього, мережеву інформацію (URL-адреси, домени, IP-адреси, MAC-адреси, пошту) та більше файлів. Вам потрібно лише виконати:
PhotoRec
Ви можете знайти його за посиланням https://www.cgsecurity.org/wiki/TestDisk_Download
Він поставляється з версіями GUI та CLI. Ви можете вибрати типи файлів, які ви хочете, щоб PhotoRec шукав.
binvis
Перевірте код та веб-сторінку інструменту.
Особливості BinVis
Візуальний та активний переглядач структури
Кілька графіків для різних точок фокусу
Фокусування на частинах вибірки
Побачення рядків та ресурсів, у виконуваних файлах PE або ELF, наприклад
Отримання шаблонів для криптоаналізу файлів
Виявлення алгоритмів упаковки або кодування
Визначення стеганографії за шаблонами
Візуальне порівняння бінарних файлів
BinVis - це чудова стартова точка для ознайомлення з невідомою ціллю в сценарії чорної скриньки.
Специфічні Інструменти Для Відновлення Даних
FindAES
Шукає ключі AES, шукаючи їх розклади ключів. Здатний знаходити ключі на 128, 192 та 256 біт, такі, як ті, що використовуються TrueCrypt та BitLocker.
Завантажте тут.
Доповнюючі інструменти
Ви можете використовувати viu , щоб переглядати зображення з терміналу. Ви можете використовувати інструмент командного рядка linux pdftotext, щоб перетворити pdf у текст і прочитати його.
Last updated