# File/Data Carving & Recovery Tools {% hint style="success" %} Learn & practice AWS Hacking:[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)\ Learn & practice GCP Hacking: [**HackTricks Training GCP Red Team Expert (GRTE)**](https://training.hacktricks.xyz/courses/grte)
Support HackTricks * Check the [**subscription plans**](https://github.com/sponsors/carlospolop)! * **Join the** ЁЯТм [**Discord group**](https://discord.gg/hRep4RUj7f) or the [**telegram group**](https://t.me/peass) or **follow** us on **Twitter** ЁЯРж [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.** * **Share hacking tricks by submitting PRs to the** [**HackTricks**](https://github.com/carlospolop/hacktricks) and [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
{% endhint %} ## Carving & Recovery tools More tools in [https://github.com/Claudio-C/awesome-datarecovery](https://github.com/Claudio-C/awesome-datarecovery) ### Autopsy рдлреЙрд░реЗрдВрд╕рд┐рдХреНрд╕ рдореЗрдВ рдЗрдореЗрдЬ рд╕реЗ рдлрд╝рд╛рдЗрд▓реЗрдВ рдирд┐рдХрд╛рд▓рдиреЗ рдХреЗ рд▓рд┐рдП рд╕рдмрд╕реЗ рд╕рд╛рдорд╛рдиреНрдп рдЙрдкрдХрд░рдг [**Autopsy**](https://www.autopsy.com/download/) рд╣реИред рдЗрд╕реЗ рдбрд╛рдЙрдирд▓реЛрдб рдХрд░реЗрдВ, рдЗрдВрд╕реНрдЯреЙрд▓ рдХрд░реЗрдВ рдФрд░ "рдЫрд┐рдкреА" рдлрд╝рд╛рдЗрд▓реЗрдВ рдЦреЛрдЬрдиреЗ рдХреЗ рд▓рд┐рдП рдЗрд╕реЗ рдлрд╝рд╛рдЗрд▓ рдХреЛ рдЗрдирдЬреЗрд╕реНрдЯ рдХрд░рдиреЗ рджреЗрдВред рдзреНрдпрд╛рди рджреЗрдВ рдХрд┐ Autopsy рдбрд┐рд╕реНрдХ рдЗрдореЗрдЬ рдФрд░ рдЕрдиреНрдп рдкреНрд░рдХрд╛рд░ рдХреА рдЗрдореЗрдЬ рдХрд╛ рд╕рдорд░реНрдерди рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдмрдирд╛рдпрд╛ рдЧрдпрд╛ рд╣реИ, рд▓реЗрдХрд┐рди рд╕рд╛рдзрд╛рд░рдг рдлрд╝рд╛рдЗрд▓реЛрдВ рдХреЗ рд▓рд┐рдП рдирд╣реАрдВред ### Binwalk **Binwalk** рдПрдХ рдЙрдкрдХрд░рдг рд╣реИ рдЬреЛ рдмрд╛рдЗрдирд░реА рдлрд╝рд╛рдЗрд▓реЛрдВ рдХрд╛ рд╡рд┐рд╢реНрд▓реЗрд╖рдг рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдЕрдВрддрд░реНрдирд┐рд╣рд┐рдд рд╕рд╛рдордЧреНрд░реА рдЦреЛрдЬрдиреЗ рдХреЗ рд▓рд┐рдП рд╣реИред рдЗрд╕реЗ `apt` рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рдЗрдВрд╕реНрдЯреЙрд▓ рдХрд┐рдпрд╛ рдЬрд╛ рд╕рдХрддрд╛ рд╣реИ рдФрд░ рдЗрд╕рдХрд╛ рд╕реНрд░реЛрдд [GitHub](https://github.com/ReFirmLabs/binwalk) рдкрд░ рд╣реИред **Useful commands**: ```bash sudo apt install binwalk #Insllation binwalk file #Displays the embedded data in the given file binwalk -e file #Displays and extracts some files from the given file binwalk --dd ".*" file #Displays and extracts all files from the given file ``` ### Foremost рдЫрд┐рдкреА рд╣реБрдИ рдлрд╝рд╛рдЗрд▓реЛрдВ рдХреЛ рдЦреЛрдЬрдиреЗ рдХреЗ рд▓рд┐рдП рдПрдХ рдФрд░ рд╕рд╛рдорд╛рдиреНрдп рдЙрдкрдХрд░рдг **foremost** рд╣реИред рдЖрдк foremost рдХреА рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди рдлрд╝рд╛рдЗрд▓ `/etc/foremost.conf` рдореЗрдВ рдкрд╛ рд╕рдХрддреЗ рд╣реИрдВред рдпрджрд┐ рдЖрдк рдХреЗрд╡рд▓ рдХреБрдЫ рд╡рд┐рд╢рд┐рд╖реНрдЯ рдлрд╝рд╛рдЗрд▓реЛрдВ рдХреЗ рд▓рд┐рдП рдЦреЛрдЬ рдХрд░рдирд╛ рдЪрд╛рд╣рддреЗ рд╣реИрдВ, рддреЛ рдЙрдиреНрд╣реЗрдВ рдЕрдирдХрдореЗрдВрдЯ рдХрд░реЗрдВред рдпрджрд┐ рдЖрдк рдХреБрдЫ рднреА рдЕрдирдХрдореЗрдВрдЯ рдирд╣реАрдВ рдХрд░рддреЗ рд╣реИрдВ, рддреЛ foremost рдЕрдкрдиреА рдбрд┐рдлрд╝реЙрд▓реНрдЯ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░ рдХреА рдЧрдИ рдлрд╝рд╛рдЗрд▓ рдкреНрд░рдХрд╛рд░реЛрдВ рдХреЗ рд▓рд┐рдП рдЦреЛрдЬ рдХрд░реЗрдЧрд╛ред ```bash sudo apt-get install foremost foremost -v -i file.img -o output #Discovered files will appear inside the folder "output" ``` ### **Scalpel** **Scalpel** рдПрдХ рдФрд░ рдЙрдкрдХрд░рдг рд╣реИ рдЬрд┐рд╕рдХрд╛ рдЙрдкрдпреЛрдЧ **рдлрд╛рдЗрд▓ рдореЗрдВ рдПрдореНрдмреЗрдбреЗрдб рдлрд╛рдЗрд▓реЛрдВ** рдХреЛ рдЦреЛрдЬрдиреЗ рдФрд░ рдирд┐рдХрд╛рд▓рдиреЗ рдХреЗ рд▓рд┐рдП рдХрд┐рдпрд╛ рдЬрд╛ рд╕рдХрддрд╛ рд╣реИред рдЗрд╕ рдорд╛рдорд▓реЗ рдореЗрдВ, рдЖрдкрдХреЛ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди рдлрд╝рд╛рдЗрд▓ (_/etc/scalpel/scalpel.conf_) рд╕реЗ рдЙрди рдлрд╝рд╛рдЗрд▓ рдкреНрд░рдХрд╛рд░реЛрдВ рдХреЛ рдЕрдирдХрдореЗрдВрдЯ рдХрд░рдирд╛ рд╣реЛрдЧрд╛ рдЬрд┐рдиреНрд╣реЗрдВ рдЖрдк рдирд┐рдХрд╛рд▓рдирд╛ рдЪрд╛рд╣рддреЗ рд╣реИрдВред ```bash sudo apt-get install scalpel scalpel file.img -o output ``` ### Bulk Extractor рдпрд╣ рдЙрдкрдХрд░рдг рдХрд╛рд▓реА рдХреЗ рдЕрдВрджрд░ рдЖрддрд╛ рд╣реИ рд▓реЗрдХрд┐рди рдЖрдк рдЗрд╕реЗ рдпрд╣рд╛рдБ рдкрд╛ рд╕рдХрддреЗ рд╣реИрдВ: [https://github.com/simsong/bulk\_extractor](https://github.com/simsong/bulk\_extractor) рдпрд╣ рдЙрдкрдХрд░рдг рдПрдХ рдЗрдореЗрдЬ рдХреЛ рд╕реНрдХреИрди рдХрд░ рд╕рдХрддрд╛ рд╣реИ рдФрд░ рдЗрд╕рдХреЗ рдЕрдВрджрд░ **pcaps** рдХреЛ **рдирд┐рдХрд╛рд▓реЗрдЧрд╛**, **рдиреЗрдЯрд╡рд░реНрдХ рдЬрд╛рдирдХрд╛рд░реА (URLs, domains, IPs, MACs, mails)** рдФрд░ рдЕрдзрд┐рдХ **рдлрд╛рдЗрд▓реЗрдВ**ред рдЖрдкрдХреЛ рдХреЗрд╡рд▓ рдпрд╣ рдХрд░рдирд╛ рд╣реИ: ``` bulk_extractor memory.img -o out_folder ``` Navigate through **рд╕рднреА рдЬрд╛рдирдХрд╛рд░реА** that the tool has gathered (passwords?), **рд╡рд┐рд╢реНрд▓реЗрд╖рдг рдХрд░реЗрдВ** the **рдкреИрдХреЗрдЯ** (read[ **Pcaps analysis**](../pcap-inspection/)), search for **рдЕрдЬреАрдм рдбреЛрдореЗрди** (domains related to **malware** or **рдЧреИрд░-рдореМрдЬреВрдж**). ### PhotoRec You can find it in [https://www.cgsecurity.org/wiki/TestDisk\_Download](https://www.cgsecurity.org/wiki/TestDisk\_Download) It comes with GUI and CLI versions. You can select the **рдлрд╛рдЗрд▓-рдкреНрд░рдХрд╛рд░** you want PhotoRec to search for. ![](<../../../.gitbook/assets/image (524).png>) ### binvis Check the [code](https://code.google.com/archive/p/binvis/) and the [web page tool](https://binvis.io/#/). #### Features of BinVis * Visual and active **рд╕рдВрд░рдЪрдирд╛ рджрд░реНрд╢рдХ** * Multiple plots for different focus points * Focusing on portions of a sample * **рд╕реНрдЯреНрд░рд┐рдВрдЧреНрд╕ рдФрд░ рд╕рдВрд╕рд╛рдзрдиреЛрдВ** рдХреЛ рджреЗрдЦрдирд╛, in PE or ELF executables e. g. * Getting **рдкреИрдЯрд░реНрди** for cryptanalysis on files * **рд╕реНрдкреЙрдЯрд┐рдВрдЧ** packer or encoder algorithms * **рдкрд╣рдЪрд╛рдиреЗрдВ** Steganography by patterns * **рджреГрд╢реНрдп** binary-diffing BinVis is a great **рд╢реБрд░реБрдЖрдд рдмрд┐рдВрджреБ to get familiar with an unknown target** in a black-boxing scenario. ## Specific Data Carving Tools ### FindAES Searches for AES keys by searching for their key schedules. Able to find 128. 192, and 256 bit keys, such as those used by TrueCrypt and BitLocker. Download [рдпрд╣рд╛рдБ](https://sourceforge.net/projects/findaes/). ## Complementary tools You can use [**viu** ](https://github.com/atanunq/viu)to see images from the terminal.\ You can use the linux command line tool **pdftotext** to transform a pdf into text and read it. {% hint style="success" %} Learn & practice AWS Hacking:[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)\ Learn & practice GCP Hacking: [**HackTricks Training GCP Red Team Expert (GRTE)**](https://training.hacktricks.xyz/courses/grte)
Support HackTricks * Check the [**subscription plans**](https://github.com/sponsors/carlospolop)! * **Join the** ЁЯТм [**Discord group**](https://discord.gg/hRep4RUj7f) or the [**telegram group**](https://t.me/peass) or **follow** us on **Twitter** ЁЯРж [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.** * **Share hacking tricks by submitting PRs to the** [**HackTricks**](https://github.com/carlospolop/hacktricks) and [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
{% endhint %}