6.2 KiB
File/Data Carving & Recovery Tools
{% hint style="success" %}
Learn & practice AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Learn & practice GCP Hacking: 
HackTricks Training GCP Red Team Expert (GRTE)
Support HackTricks
- Check the subscription plans!
- Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
- Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.
Carving & Recovery tools
Więcej narzędzi w https://github.com/Claudio-C/awesome-datarecovery
Autopsy
Najczęściej używane narzędzie w forensyce do ekstrakcji plików z obrazów to Autopsy. Pobierz je, zainstaluj i spraw, aby przetworzyło plik, aby znaleźć "ukryte" pliki. Zauważ, że Autopsy jest zaprojektowane do obsługi obrazów dysków i innych rodzajów obrazów, ale nie prostych plików.
Binwalk
Binwalk to narzędzie do analizy plików binarnych w celu znalezienia osadzonych treści. Można je zainstalować za pomocą apt, a jego źródło znajduje się na GitHub.
Przydatne polecenia:
sudo apt install binwalk #Insllation
binwalk file #Displays the embedded data in the given file
binwalk -e file #Displays and extracts some files from the given file
binwalk --dd ".*" file #Displays and extracts all files from the given file
Foremost
Innym powszechnym narzędziem do znajdowania ukrytych plików jest foremost. Plik konfiguracyjny foremost znajduje się w /etc/foremost.conf. Jeśli chcesz wyszukać konkretne pliki, odkomentuj je. Jeśli nic nie odkomentujesz, foremost będzie szukać domyślnie skonfigurowanych typów plików.
sudo apt-get install foremost
foremost -v -i file.img -o output
#Discovered files will appear inside the folder "output"
Scalpel
Scalpel to kolejne narzędzie, które można wykorzystać do znajdowania i wyodrębniania plików osadzonych w pliku. W tym przypadku będziesz musiał odkomentować w pliku konfiguracyjnym (/etc/scalpel/scalpel.conf) typy plików, które chcesz, aby zostały wyodrębnione.
sudo apt-get install scalpel
scalpel file.img -o output
Bulk Extractor
To narzędzie znajduje się w Kali, ale możesz je znaleźć tutaj: https://github.com/simsong/bulk_extractor
To narzędzie może skanować obraz i wyodrębniać pcaps w nim, informacje o sieci (URL, domeny, IP, MAC, maile) i więcej plików. Musisz tylko zrobić:
bulk_extractor memory.img -o out_folder
Przejrzyj wszystkie informacje, które narzędzie zebrało (hasła?), analizuj pakiety (przeczytaj analizę Pcaps), szukaj dziwnych domen (domen związanych z złośliwym oprogramowaniem lub nieistniejącymi).
PhotoRec
Możesz go znaleźć pod adresem https://www.cgsecurity.org/wiki/TestDisk_Download
Dostępna jest wersja z interfejsem graficznym i wiersza poleceń. Możesz wybrać typy plików, które PhotoRec ma wyszukiwać.
binvis
Sprawdź kod i stronę narzędzia.
Cechy BinVis
- Wizualny i aktywny podgląd struktury
- Wiele wykresów dla różnych punktów skupienia
- Skupienie na częściach próbki
- Widzenie ciągów i zasobów, w plikach PE lub ELF, np.
- Uzyskiwanie wzorców do kryptanalizy plików
- Wykrywanie algorytmów pakujących lub kodujących
- Identyfikacja steganografii na podstawie wzorców
- Wizualna różnica binarna
BinVis to świetny punkt wyjścia do zapoznania się z nieznanym celem w scenariuszu black-box.
Specyficzne narzędzia do wydobywania danych
FindAES
Wyszukuje klucze AES, przeszukując ich harmonogramy kluczy. Może znaleźć klucze 128, 192 i 256 bitowe, takie jak te używane przez TrueCrypt i BitLocker.
Pobierz tutaj.
Narzędzia uzupełniające
Możesz użyć viu, aby zobaczyć obrazy z terminala.
Możesz użyć narzędzia wiersza poleceń Linux pdftotext, aby przekształcić plik pdf w tekst i go przeczytać.
{% hint style="success" %}
Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
Wsparcie dla HackTricks
- Sprawdź plany subskrypcyjne!
- Dołącz do 💬 grupy Discord lub grupy telegram lub śledź nas na Twitterze 🐦 @hacktricks_live.
- Podziel się trikami hackingowymi, przesyłając PR-y do HackTricks i HackTricks Cloud repozytoriów github.