Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2024-11-23 13:13:41 +00:00
Code Issues Projects Releases Packages Wiki Activity
hacktricks/forensics/basic-forensic-methodology/partitions-file-systems-carving/file-data-carving-recovery-tools.md

6.5 KiB
Raw Blame History

Narzędzia do wycinania i odzyskiwania danych

Naucz się hakować AWS od zera do bohatera z htARTE (HackTricks AWS Red Team Expert)!

Inne sposoby wsparcia HackTricks:

Try Hard Security Group

{% embed url="https://discord.gg/tryhardsecurity" %}

Narzędzia do wycinania i odzyskiwania

Więcej narzędzi na https://github.com/Claudio-C/awesome-datarecovery

Autopsy

Najczęściej używanym narzędziem w dziedzinie kryminalistyki do wyodrębniania plików z obrazów jest Autopsy. Pobierz go, zainstaluj i spraw, aby przetworzył plik w celu znalezienia "ukrytych" plików. Zauważ, że Autopsy jest przeznaczony do obsługi obrazów dysków i innych rodzajów obrazów, ale nie prostych plików.

Binwalk

Binwalk to narzędzie do analizy plików binarnych w celu znalezienia osadzonej zawartości. Można je zainstalować za pomocą apt, a jego źródło znajduje się na GitHub.

Przydatne polecenia:

sudo apt install binwalk #Insllation
binwalk file #Displays the embedded data in the given file
binwalk -e file #Displays and extracts some files from the given file
binwalk --dd ".*" file #Displays and extracts all files from the given file

Foremost

Innym powszechnie stosowanym narzędziem do znajdowania ukrytych plików jest foremost. Konfigurację foremost można znaleźć w pliku /etc/foremost.conf. Jeśli chcesz wyszukać określone pliki, odkomentuj je. Jeśli nic nie odkomentujesz, foremost będzie przeszukiwał domyślnie skonfigurowane typy plików.

sudo apt-get install foremost
foremost -v -i file.img -o output
#Discovered files will appear inside the folder "output"

Scalpel

Scalpel to kolejne narzędzie, które można użyć do znalezienia i wyodrębnienia plików osadzonych w pliku. W tym przypadku będziesz musiał odkomentować z pliku konfiguracyjnego (/etc/scalpel/scalpel.conf) typy plików, które chcesz wyodrębnić.

sudo apt-get install scalpel
scalpel file.img -o output

Bulk Extractor

To narzędzie znajduje się w Kali, ale można je znaleźć tutaj: https://github.com/simsong/bulk_extractor

To narzędzie może przeskanować obraz i wydobyć pcapy wewnątrz niego, informacje sieciowe (adresy URL, domeny, adresy IP, adresy MAC, maile) oraz więcej plików. Wystarczy tylko:

bulk_extractor memory.img -o out_folder

PhotoRec

Możesz go znaleźć pod adresem https://www.cgsecurity.org/wiki/TestDisk_Download

Posiada wersje z interfejsem graficznym i wiersza poleceń. Możesz wybrać typy plików, które chcesz, aby PhotoRec wyszukał.

binvis

Sprawdź kod oraz narzędzie na stronie internetowej.

Funkcje BinVis

  • Wizualizator struktury plików
  • Wiele wykresów dla różnych punktów skupienia
  • Skupienie na fragmentach próbki
  • Wykrywanie ciągów i zasobów, w plikach wykonywalnych PE lub ELF, np.
  • Pozyskiwanie wzorców do kryptografii plików
  • Wykrywanie algorytmów pakowania lub kodowania
  • Identyfikacja steganografii poprzez wzorce
  • Wizualne porównywanie binarne

BinVis to doskonały punkt wyjścia do zapoznania się z nieznanym celem w scenariuszu black-boxing.

Konkretne narzędzia do odzyskiwania danych

FindAES

Wyszukuje klucze AES, szukając ich harmonogramów kluczy. Potrafi znaleźć klucze 128, 192 i 256 bitowe, takie jak te używane przez TrueCrypt i BitLocker.

Pobierz tutaj.

Narzędzia uzupełniające

Możesz użyć viu , aby zobaczyć obrazy z terminala.
Możesz użyć narzędzia wiersza poleceń systemu Linux pdftotext, aby przekształcić plik PDF na tekst i go odczytać.

Try Hard Security Group

{% embed url="https://discord.gg/tryhardsecurity" %}

Naucz się hakować AWS od zera do bohatera z htARTE (HackTricks AWS Red Team Expert)!

Inne sposoby wsparcia HackTricks: