7.9 KiB
File/Data Carving & Recovery Tools
{% hint style="success" %}
Learn & practice AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Learn & practice GCP Hacking: 
HackTricks Training GCP Red Team Expert (GRTE)
Support HackTricks
- Check the subscription plans!
- Join the ЁЯТм Discord group or the telegram group or follow us on Twitter ЁЯРж @hacktricks_live.
- Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.
Carving & Recovery tools
More tools in https://github.com/Claudio-C/awesome-datarecovery
Autopsy
рдлреЙрд░реЗрдВрд╕рд┐рдХреНрд╕ рдореЗрдВ рдЗрдореЗрдЬ рд╕реЗ рдлрд╝рд╛рдЗрд▓реЗрдВ рдирд┐рдХрд╛рд▓рдиреЗ рдХреЗ рд▓рд┐рдП рд╕рдмрд╕реЗ рд╕рд╛рдорд╛рдиреНрдп рдЙрдкрдХрд░рдг Autopsy рд╣реИред рдЗрд╕реЗ рдбрд╛рдЙрдирд▓реЛрдб рдХрд░реЗрдВ, рдЗрдВрд╕реНрдЯреЙрд▓ рдХрд░реЗрдВ рдФрд░ "рдЫрд┐рдкреА" рдлрд╝рд╛рдЗрд▓реЗрдВ рдЦреЛрдЬрдиреЗ рдХреЗ рд▓рд┐рдП рдЗрд╕реЗ рдлрд╝рд╛рдЗрд▓ рдХреЛ рдЗрдирдЬреЗрд╕реНрдЯ рдХрд░рдиреЗ рджреЗрдВред рдзреНрдпрд╛рди рджреЗрдВ рдХрд┐ Autopsy рдбрд┐рд╕реНрдХ рдЗрдореЗрдЬ рдФрд░ рдЕрдиреНрдп рдкреНрд░рдХрд╛рд░ рдХреА рдЗрдореЗрдЬ рдХрд╛ рд╕рдорд░реНрдерди рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдмрдирд╛рдпрд╛ рдЧрдпрд╛ рд╣реИ, рд▓реЗрдХрд┐рди рд╕рд╛рдзрд╛рд░рдг рдлрд╝рд╛рдЗрд▓реЛрдВ рдХреЗ рд▓рд┐рдП рдирд╣реАрдВред
Binwalk
Binwalk рдПрдХ рдЙрдкрдХрд░рдг рд╣реИ рдЬреЛ рдмрд╛рдЗрдирд░реА рдлрд╝рд╛рдЗрд▓реЛрдВ рдХрд╛ рд╡рд┐рд╢реНрд▓реЗрд╖рдг рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдЕрдВрддрд░реНрдирд┐рд╣рд┐рдд рд╕рд╛рдордЧреНрд░реА рдЦреЛрдЬрдиреЗ рдХреЗ рд▓рд┐рдП рд╣реИред рдЗрд╕реЗ apt рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рдЗрдВрд╕реНрдЯреЙрд▓ рдХрд┐рдпрд╛ рдЬрд╛ рд╕рдХрддрд╛ рд╣реИ рдФрд░ рдЗрд╕рдХрд╛ рд╕реНрд░реЛрдд GitHub рдкрд░ рд╣реИред
Useful commands:
sudo apt install binwalk #Insllation
binwalk file #Displays the embedded data in the given file
binwalk -e file #Displays and extracts some files from the given file
binwalk --dd ".*" file #Displays and extracts all files from the given file
Foremost
рдЫрд┐рдкреА рд╣реБрдИ рдлрд╝рд╛рдЗрд▓реЛрдВ рдХреЛ рдЦреЛрдЬрдиреЗ рдХреЗ рд▓рд┐рдП рдПрдХ рдФрд░ рд╕рд╛рдорд╛рдиреНрдп рдЙрдкрдХрд░рдг foremost рд╣реИред рдЖрдк foremost рдХреА рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди рдлрд╝рд╛рдЗрд▓ /etc/foremost.conf рдореЗрдВ рдкрд╛ рд╕рдХрддреЗ рд╣реИрдВред рдпрджрд┐ рдЖрдк рдХреЗрд╡рд▓ рдХреБрдЫ рд╡рд┐рд╢рд┐рд╖реНрдЯ рдлрд╝рд╛рдЗрд▓реЛрдВ рдХреЗ рд▓рд┐рдП рдЦреЛрдЬ рдХрд░рдирд╛ рдЪрд╛рд╣рддреЗ рд╣реИрдВ, рддреЛ рдЙрдиреНрд╣реЗрдВ рдЕрдирдХрдореЗрдВрдЯ рдХрд░реЗрдВред рдпрджрд┐ рдЖрдк рдХреБрдЫ рднреА рдЕрдирдХрдореЗрдВрдЯ рдирд╣реАрдВ рдХрд░рддреЗ рд╣реИрдВ, рддреЛ foremost рдЕрдкрдиреА рдбрд┐рдлрд╝реЙрд▓реНрдЯ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░ рдХреА рдЧрдИ рдлрд╝рд╛рдЗрд▓ рдкреНрд░рдХрд╛рд░реЛрдВ рдХреЗ рд▓рд┐рдП рдЦреЛрдЬ рдХрд░реЗрдЧрд╛ред
sudo apt-get install foremost
foremost -v -i file.img -o output
#Discovered files will appear inside the folder "output"
Scalpel
Scalpel рдПрдХ рдФрд░ рдЙрдкрдХрд░рдг рд╣реИ рдЬрд┐рд╕рдХрд╛ рдЙрдкрдпреЛрдЧ рдлрд╛рдЗрд▓ рдореЗрдВ рдПрдореНрдмреЗрдбреЗрдб рдлрд╛рдЗрд▓реЛрдВ рдХреЛ рдЦреЛрдЬрдиреЗ рдФрд░ рдирд┐рдХрд╛рд▓рдиреЗ рдХреЗ рд▓рд┐рдП рдХрд┐рдпрд╛ рдЬрд╛ рд╕рдХрддрд╛ рд╣реИред рдЗрд╕ рдорд╛рдорд▓реЗ рдореЗрдВ, рдЖрдкрдХреЛ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди рдлрд╝рд╛рдЗрд▓ (/etc/scalpel/scalpel.conf) рд╕реЗ рдЙрди рдлрд╝рд╛рдЗрд▓ рдкреНрд░рдХрд╛рд░реЛрдВ рдХреЛ рдЕрдирдХрдореЗрдВрдЯ рдХрд░рдирд╛ рд╣реЛрдЧрд╛ рдЬрд┐рдиреНрд╣реЗрдВ рдЖрдк рдирд┐рдХрд╛рд▓рдирд╛ рдЪрд╛рд╣рддреЗ рд╣реИрдВред
sudo apt-get install scalpel
scalpel file.img -o output
Bulk Extractor
рдпрд╣ рдЙрдкрдХрд░рдг рдХрд╛рд▓реА рдХреЗ рдЕрдВрджрд░ рдЖрддрд╛ рд╣реИ рд▓реЗрдХрд┐рди рдЖрдк рдЗрд╕реЗ рдпрд╣рд╛рдБ рдкрд╛ рд╕рдХрддреЗ рд╣реИрдВ: https://github.com/simsong/bulk_extractor
рдпрд╣ рдЙрдкрдХрд░рдг рдПрдХ рдЗрдореЗрдЬ рдХреЛ рд╕реНрдХреИрди рдХрд░ рд╕рдХрддрд╛ рд╣реИ рдФрд░ рдЗрд╕рдХреЗ рдЕрдВрджрд░ pcaps рдХреЛ рдирд┐рдХрд╛рд▓реЗрдЧрд╛, рдиреЗрдЯрд╡рд░реНрдХ рдЬрд╛рдирдХрд╛рд░реА (URLs, domains, IPs, MACs, mails) рдФрд░ рдЕрдзрд┐рдХ рдлрд╛рдЗрд▓реЗрдВред рдЖрдкрдХреЛ рдХреЗрд╡рд▓ рдпрд╣ рдХрд░рдирд╛ рд╣реИ:
bulk_extractor memory.img -o out_folder
Navigate through рд╕рднреА рдЬрд╛рдирдХрд╛рд░реА that the tool has gathered (passwords?), рд╡рд┐рд╢реНрд▓реЗрд╖рдг рдХрд░реЗрдВ the рдкреИрдХреЗрдЯ (read Pcaps analysis), search for рдЕрдЬреАрдм рдбреЛрдореЗрди (domains related to malware or рдЧреИрд░-рдореМрдЬреВрдж).
PhotoRec
You can find it in https://www.cgsecurity.org/wiki/TestDisk_Download
It comes with GUI and CLI versions. You can select the рдлрд╛рдЗрд▓-рдкреНрд░рдХрд╛рд░ you want PhotoRec to search for.
binvis
Check the code and the web page tool.
Features of BinVis
- Visual and active рд╕рдВрд░рдЪрдирд╛ рджрд░реНрд╢рдХ
- Multiple plots for different focus points
- Focusing on portions of a sample
- рд╕реНрдЯреНрд░рд┐рдВрдЧреНрд╕ рдФрд░ рд╕рдВрд╕рд╛рдзрдиреЛрдВ рдХреЛ рджреЗрдЦрдирд╛, in PE or ELF executables e. g.
- Getting рдкреИрдЯрд░реНрди for cryptanalysis on files
- рд╕реНрдкреЙрдЯрд┐рдВрдЧ packer or encoder algorithms
- рдкрд╣рдЪрд╛рдиреЗрдВ Steganography by patterns
- рджреГрд╢реНрдп binary-diffing
BinVis is a great рд╢реБрд░реБрдЖрдд рдмрд┐рдВрджреБ to get familiar with an unknown target in a black-boxing scenario.
Specific Data Carving Tools
FindAES
Searches for AES keys by searching for their key schedules. Able to find 128. 192, and 256 bit keys, such as those used by TrueCrypt and BitLocker.
Download рдпрд╣рд╛рдБ.
Complementary tools
You can use viu to see images from the terminal.
You can use the linux command line tool pdftotext to transform a pdf into text and read it.
{% hint style="success" %}
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Support HackTricks
- Check the subscription plans!
- Join the ЁЯТм Discord group or the telegram group or follow us on Twitter ЁЯРж @hacktricks_live.
- Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.