hacktricks/forensics/basic-forensic-methodology/partitions-file-systems-carving/file-data-carving-recovery-tools.md

# Ferramentas de Escultura e Recuperação de Dados

<details>

<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Outras maneiras de apoiar o HackTricks:

* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para os** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.

</details>

**Try Hard Security Group**

<figure><img src="/.gitbook/assets/telegram-cloud-document-1-5159108904864449420.jpg" alt=""><figcaption></figcaption></figure>

{% embed url="https://discord.gg/tryhardsecurity" %}

***

## Ferramentas de Escultura e Recuperação

Mais ferramentas em [https://github.com/Claudio-C/awesome-datarecovery](https://github.com/Claudio-C/awesome-datarecovery)

### Autópsia

A ferramenta mais comum usada em forense para extrair arquivos de imagens é o [**Autopsy**](https://www.autopsy.com/download/). Baixe, instale e faça com que ele ingira o arquivo para encontrar arquivos "ocultos". Note que o Autopsy é construído para suportar imagens de disco e outros tipos de imagens, mas não arquivos simples.

### Binwalk <a href="#binwalk" id="binwalk"></a>

**Binwalk** é uma ferramenta para analisar arquivos binários e encontrar conteúdo incorporado. É instalável via `apt` e seu código fonte está no [GitHub](https://github.com/ReFirmLabs/binwalk).

**Comandos úteis**:
```bash
sudo apt install binwalk #Insllation
binwalk file #Displays the embedded data in the given file
binwalk -e file #Displays and extracts some files from the given file
binwalk --dd ".*" file #Displays and extracts all files from the given file
```
### Foremost

Outra ferramenta comum para encontrar arquivos ocultos é o **foremost**. Você pode encontrar o arquivo de configuração do foremost em `/etc/foremost.conf`. Se você deseja procurar por arquivos específicos, descomente-os. Caso contrário, o foremost pesquisará pelos tipos de arquivos configurados por padrão.
```bash
sudo apt-get install foremost
foremost -v -i file.img -o output
#Discovered files will appear inside the folder "output"
```
### **Scalpel**

**Scalpel** é outra ferramenta que pode ser usada para encontrar e extrair **arquivos incorporados em um arquivo**. Neste caso, você precisará descomentar no arquivo de configuração (_/etc/scalpel/scalpel.conf_) os tipos de arquivo que deseja extrair.
```bash
sudo apt-get install scalpel
scalpel file.img -o output
```
### Bulk Extractor

Esta ferramenta vem incluída no kali mas você pode encontrá-la aqui: [https://github.com/simsong/bulk\_extractor](https://github.com/simsong/bulk\_extractor)

Esta ferramenta pode escanear uma imagem e irá **extrair pcaps** dentro dela, **informações de rede (URLs, domínios, IPs, MACs, e-mails)** e mais **arquivos**. Você só precisa fazer:
```
bulk_extractor memory.img -o out_folder
```
### PhotoRec

Você pode encontrá-lo em [https://www.cgsecurity.org/wiki/TestDisk\_Download](https://www.cgsecurity.org/wiki/TestDisk\_Download)

Ele vem com versões GUI e CLI. Você pode selecionar os **tipos de arquivos** que deseja que o PhotoRec procure.

![](<../../../.gitbook/assets/image (524).png>)

### binvis

Verifique o [código](https://code.google.com/archive/p/binvis/) e a [página da ferramenta web](https://binvis.io/#/).

#### Recursos do BinVis

* Visualizador de **estrutura** visual e ativo
* Múltiplos gráficos para diferentes pontos de foco
* Focando em porções de uma amostra
* **Visualizando strings e recursos**, em executáveis PE ou ELF, por exemplo
* Obtendo **padrões** para criptoanálise em arquivos
* **Identificando** algoritmos de empacotamento ou codificação
* **Identificando** Esteganografia por padrões
* **Diferenciação** binária visual

BinVis é um ótimo **ponto de partida para se familiarizar com um alvo desconhecido** em um cenário de caixa preta.

## Ferramentas Específicas de Recuperação de Dados

### FindAES

Procura por chaves AES pesquisando por suas agendas de chaves. Capaz de encontrar chaves de 128, 192 e 256 bits, como as usadas pelo TrueCrypt e BitLocker.

Baixe [aqui](https://sourceforge.net/projects/findaes/).

## Ferramentas Complementares

Você pode usar [**viu**](https://github.com/atanunq/viu) para ver imagens a partir do terminal.\
Você pode usar a ferramenta de linha de comando do Linux **pdftotext** para transformar um PDF em texto e lê-lo.

**Try Hard Security Group**

<figure><img src="/.gitbook/assets/telegram-cloud-document-1-5159108904864449420.jpg" alt=""><figcaption></figcaption></figure>

{% embed url="https://discord.gg/tryhardsecurity" %}

<details>

<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Outras maneiras de apoiar o HackTricks:

* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Obtenha o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para os repositórios** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).

</details>
Translated ['README.md', 'forensics/basic-forensic-methodology/partition 2024-03-09 13:15:58 +00:00			`# Ferramentas de Escultura e Recuperação de Dados`

Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00			`<details>`

Translated ['README.md', 'forensics/basic-forensic-methodology/partition 2024-03-14 23:33:23 +00:00			`<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated ['forensics/basic-forensic-methodology/partitions-file-system 2024-02-05 02:45:11 +00:00			`Outras maneiras de apoiar o HackTricks:`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated ['forensics/basic-forensic-methodology/partitions-file-system 2024-03-24 12:25:47 +00:00			`* Se você deseja ver sua empresa anunciada no HackTricks ou baixar o HackTricks em PDF Confira os [PLANOS DE ASSINATURA](https://github.com/sponsors/carlospolop)!`
Translated ['forensics/basic-forensic-methodology/partitions-file-system 2024-02-05 02:45:11 +00:00			`* Adquira o [swag oficial PEASS & HackTricks](https://peass.creator-spring.com)`
			`* Descubra [A Família PEASS](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [NFTs](https://opensea.io/collection/the-peass-family)`
Translated ['README.md', 'forensics/basic-forensic-methodology/partition 2024-03-09 13:15:58 +00:00			`* Junte-se ao 💬 [grupo Discord](https://discord.gg/hRep4RUj7f) ou ao [grupo telegram](https://t.me/peass) ou siga-nos no Twitter 🐦 [@hacktricks\_live](https://twitter.com/hacktricks\_live).`
Translated ['forensics/basic-forensic-methodology/partitions-file-system 2024-02-05 02:45:11 +00:00			`* Compartilhe seus truques de hacking enviando PRs para os [HackTricks](https://github.com/carlospolop/hacktricks) e [HackTricks Cloud](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
			`</details>`

Translated ['README.md', 'forensics/basic-forensic-methodology/partition 2024-03-14 23:33:23 +00:00			`Try Hard Security Group`

Translated ['forensics/basic-forensic-methodology/partitions-file-system 2024-03-24 12:25:47 +00:00			`<figure><img src="/.gitbook/assets/telegram-cloud-document-1-5159108904864449420.jpg" alt=""><figcaption></figcaption></figure>`
Translated ['README.md', 'forensics/basic-forensic-methodology/partition 2024-03-14 23:33:23 +00:00
			`{% embed url="https://discord.gg/tryhardsecurity" %}`

			`***`

Translated ['README.md', 'forensics/basic-forensic-methodology/partition 2024-03-09 13:15:58 +00:00			`## Ferramentas de Escultura e Recuperação`
GitBook: [master] 476 pages modified 2021-05-28 17:53:46 +00:00
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`Mais ferramentas em [https://github.com/Claudio-C/awesome-datarecovery](https://github.com/Claudio-C/awesome-datarecovery)`
GitBook: [master] 476 pages modified 2021-05-28 17:53:46 +00:00
Translated ['README.md', 'forensics/basic-forensic-methodology/partition 2024-03-09 13:15:58 +00:00			`### Autópsia`
GitBook: [master] 476 pages modified 2021-05-28 17:53:46 +00:00
Translated ['forensics/basic-forensic-methodology/partitions-file-system 2024-03-24 12:25:47 +00:00			`A ferramenta mais comum usada em forense para extrair arquivos de imagens é o [Autopsy](https://www.autopsy.com/download/). Baixe, instale e faça com que ele ingira o arquivo para encontrar arquivos "ocultos". Note que o Autopsy é construído para suportar imagens de disco e outros tipos de imagens, mas não arquivos simples.`
GitBook: [master] 476 pages modified 2021-05-28 17:53:46 +00:00
Translated ['README.md', 'forensics/basic-forensic-methodology/partition 2024-03-09 13:15:58 +00:00			`### Binwalk <a href="#binwalk" id="binwalk"></a>`
GitBook: [master] 476 pages modified 2021-05-28 17:53:46 +00:00
Translated ['forensics/basic-forensic-methodology/partitions-file-system 2024-03-24 12:25:47 +00:00			Binwalk é uma ferramenta para analisar arquivos binários e encontrar conteúdo incorporado. É instalável via `apt` e seu código fonte está no [GitHub](https://github.com/ReFirmLabs/binwalk).
Translated ['ctf-write-ups/challenge-0521.intigriti.io.md', 'ctf-write-u 2024-02-07 04:39:38 +00:00
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`Comandos úteis:`
GitBook: [master] 476 pages modified 2021-05-28 17:53:46 +00:00			```bash
			`sudo apt install binwalk #Insllation`
			`binwalk file #Displays the embedded data in the given file`
			`binwalk -e file #Displays and extracts some files from the given file`
			`binwalk --dd ".*" file #Displays and extracts all files from the given file`
			```
Translated ['README.md', 'forensics/basic-forensic-methodology/partition 2024-03-09 13:15:58 +00:00			`### Foremost`
GitBook: [master] 476 pages modified 2021-05-28 17:53:46 +00:00
Translated ['forensics/basic-forensic-methodology/partitions-file-system 2024-03-24 12:25:47 +00:00			Outra ferramenta comum para encontrar arquivos ocultos é o foremost. Você pode encontrar o arquivo de configuração do foremost em `/etc/foremost.conf`. Se você deseja procurar por arquivos específicos, descomente-os. Caso contrário, o foremost pesquisará pelos tipos de arquivos configurados por padrão.
GitBook: [master] 476 pages modified 2021-05-28 17:53:46 +00:00			```bash
			`sudo apt-get install foremost`
			`foremost -v -i file.img -o output`
			`#Discovered files will appear inside the folder "output"`
			```
Translated ['README.md', 'forensics/basic-forensic-methodology/partition 2024-03-09 13:15:58 +00:00			`### Scalpel`
GitBook: [master] 476 pages modified 2021-05-28 17:53:46 +00:00
Translated ['forensics/basic-forensic-methodology/partitions-file-system 2024-03-24 12:25:47 +00:00			`Scalpel é outra ferramenta que pode ser usada para encontrar e extrair arquivos incorporados em um arquivo. Neste caso, você precisará descomentar no arquivo de configuração (_/etc/scalpel/scalpel.conf_) os tipos de arquivo que deseja extrair.`
GitBook: [master] 476 pages modified 2021-05-28 17:53:46 +00:00			```bash
			`sudo apt-get install scalpel`
			`scalpel file.img -o output`
			```
Translated ['README.md', 'forensics/basic-forensic-methodology/partition 2024-03-09 13:15:58 +00:00			`### Bulk Extractor`
GitBook: [master] 476 pages modified 2021-05-28 17:53:46 +00:00
Translated ['forensics/basic-forensic-methodology/partitions-file-system 2024-03-24 12:25:47 +00:00			`Esta ferramenta vem incluída no kali mas você pode encontrá-la aqui: [https://github.com/simsong/bulk\_extractor](https://github.com/simsong/bulk\_extractor)`
GitBook: [master] 476 pages modified 2021-05-28 17:53:46 +00:00
Translated ['forensics/basic-forensic-methodology/partitions-file-system 2023-09-02 23:50:20 +00:00			`Esta ferramenta pode escanear uma imagem e irá extrair pcaps dentro dela, informações de rede (URLs, domínios, IPs, MACs, e-mails) e mais arquivos. Você só precisa fazer:`
GitBook: [#2777] gitbookissooooo slow I cannot write 2021-10-18 11:21:18 +00:00			```
GitBook: [master] 476 pages modified 2021-05-28 17:53:46 +00:00			`bulk_extractor memory.img -o out_folder`
			```
Translated ['README.md', 'forensics/basic-forensic-methodology/partition 2024-03-09 13:15:58 +00:00			`### PhotoRec`
GitBook: [master] 476 pages modified 2021-05-28 17:53:46 +00:00
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`Você pode encontrá-lo em [https://www.cgsecurity.org/wiki/TestDisk\_Download](https://www.cgsecurity.org/wiki/TestDisk\_Download)`
GitBook: [master] 476 pages modified 2021-05-28 17:53:46 +00:00
Translated ['forensics/basic-forensic-methodology/partitions-file-system 2024-03-24 12:25:47 +00:00			`Ele vem com versões GUI e CLI. Você pode selecionar os tipos de arquivos que deseja que o PhotoRec procure.`
GitBook: [master] 476 pages modified 2021-05-28 17:53:46 +00:00
GitBook: [#2777] gitbookissooooo slow I cannot write 2021-10-18 11:21:18 +00:00			`![](<../../../.gitbook/assets/image (524).png>)`
GitBook: [master] 476 pages modified 2021-05-28 17:53:46 +00:00
Translated ['README.md', 'forensics/basic-forensic-methodology/partition 2024-03-09 13:15:58 +00:00			`### binvis`
GitBook: [#3034] No subject 2022-02-23 15:32:10 +00:00
Translated ['README.md', 'forensics/basic-forensic-methodology/partition 2024-03-09 13:15:58 +00:00			`Verifique o [código](https://code.google.com/archive/p/binvis/) e a [página da ferramenta web](https://binvis.io/#/).`
GitBook: [#3034] No subject 2022-02-23 15:32:10 +00:00
Translated ['README.md', 'forensics/basic-forensic-methodology/partition 2024-03-09 13:15:58 +00:00			`#### Recursos do BinVis`
GitBook: [#3034] No subject 2022-02-23 15:32:10 +00:00
Translated ['forensics/basic-forensic-methodology/partitions-file-system 2024-02-05 02:45:11 +00:00			`* Visualizador de estrutura visual e ativo`
Translated ['forensics/basic-forensic-methodology/partitions-file-system 2023-09-02 23:50:20 +00:00			`* Múltiplos gráficos para diferentes pontos de foco`
Translated ['forensics/basic-forensic-methodology/partitions-file-system 2024-02-05 02:45:11 +00:00			`* Focando em porções de uma amostra`
			`* Visualizando strings e recursos, em executáveis PE ou ELF, por exemplo`
			`* Obtendo padrões para criptoanálise em arquivos`
			`* Identificando algoritmos de empacotamento ou codificação`
			`* Identificando Esteganografia por padrões`
Translated ['README.md', 'forensics/basic-forensic-methodology/partition 2024-03-14 23:33:23 +00:00			`* Diferenciação binária visual`
GitBook: [#3034] No subject 2022-02-23 15:32:10 +00:00
Translated ['forensics/basic-forensic-methodology/partitions-file-system 2024-02-05 02:45:11 +00:00			`BinVis é um ótimo ponto de partida para se familiarizar com um alvo desconhecido em um cenário de caixa preta.`
GitBook: [#3034] No subject 2022-02-23 15:32:10 +00:00
Translated ['README.md', 'forensics/basic-forensic-methodology/partition 2024-03-09 13:15:58 +00:00			`## Ferramentas Específicas de Recuperação de Dados`
GitBook: [master] 476 pages modified 2021-05-28 17:53:46 +00:00
Translated ['README.md', 'forensics/basic-forensic-methodology/partition 2024-03-09 13:15:58 +00:00			`### FindAES`
GitBook: [master] 476 pages modified 2021-05-28 17:53:46 +00:00
Translated ['forensics/basic-forensic-methodology/partitions-file-system 2024-03-24 12:25:47 +00:00			`Procura por chaves AES pesquisando por suas agendas de chaves. Capaz de encontrar chaves de 128, 192 e 256 bits, como as usadas pelo TrueCrypt e BitLocker.`
GitBook: [master] 476 pages modified 2021-05-28 17:53:46 +00:00
Translated ['forensics/basic-forensic-methodology/anti-forensic-techniqu 2024-01-13 22:32:20 +00:00			`Baixe [aqui](https://sourceforge.net/projects/findaes/).`
GitBook: [master] 476 pages modified 2021-05-28 17:53:46 +00:00
Translated ['README.md', 'forensics/basic-forensic-methodology/partition 2024-03-09 13:15:58 +00:00			`## Ferramentas Complementares`
GitBook: [master] 476 pages modified 2021-05-28 17:53:46 +00:00
Translated ['forensics/basic-forensic-methodology/anti-forensic-techniqu 2024-01-13 22:32:20 +00:00			`Você pode usar [viu](https://github.com/atanunq/viu) para ver imagens a partir do terminal.\`
Translated ['forensics/basic-forensic-methodology/partitions-file-system 2023-09-02 23:50:20 +00:00			`Você pode usar a ferramenta de linha de comando do Linux pdftotext para transformar um PDF em texto e lê-lo.`
Translated ['README.md', 'forensics/basic-forensic-methodology/partition 2024-03-14 23:33:23 +00:00
			`Try Hard Security Group`

Translated ['forensics/basic-forensic-methodology/partitions-file-system 2024-03-24 12:25:47 +00:00			`<figure><img src="/.gitbook/assets/telegram-cloud-document-1-5159108904864449420.jpg" alt=""><figcaption></figcaption></figure>`
Translated ['README.md', 'forensics/basic-forensic-methodology/partition 2024-03-14 23:33:23 +00:00
			`{% embed url="https://discord.gg/tryhardsecurity" %}`

			`<details>`

			`<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>`

Translated ['forensics/basic-forensic-methodology/partitions-file-system 2024-03-24 12:25:47 +00:00			`Outras maneiras de apoiar o HackTricks:`
Translated ['README.md', 'forensics/basic-forensic-methodology/partition 2024-03-14 23:33:23 +00:00
Translated ['forensics/basic-forensic-methodology/partitions-file-system 2024-03-24 12:25:47 +00:00			`* Se você deseja ver sua empresa anunciada no HackTricks ou baixar o HackTricks em PDF, verifique os [PLANOS DE ASSINATURA](https://github.com/sponsors/carlospolop)!`
			`* Obtenha o [swag oficial PEASS & HackTricks](https://peass.creator-spring.com)`
Translated ['README.md', 'forensics/basic-forensic-methodology/partition 2024-03-14 23:33:23 +00:00			`* Descubra [A Família PEASS](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [NFTs](https://opensea.io/collection/the-peass-family)`
			`* Junte-se ao 💬 [grupo Discord](https://discord.gg/hRep4RUj7f) ou ao [grupo telegram](https://t.me/peass) ou siga-nos no Twitter 🐦 [@hacktricks\_live](https://twitter.com/hacktricks\_live).`
			`* Compartilhe seus truques de hacking enviando PRs para os repositórios [HackTricks](https://github.com/carlospolop/hacktricks) e [HackTricks Cloud](https://github.com/carlospolop/hacktricks-cloud).`

			`</details>`