hacktricks/forensics/basic-forensic-methodology/partitions-file-systems-carving/file-data-carving-tools.md

{% hint style="success" %} Jifunze na zoea AWS Hacking:Mafunzo ya HackTricks AWS Timu Nyekundu Mtaalam (ARTE)
Jifunze na zoea GCP Hacking: Mafunzo ya HackTricks GCP Timu Nyekundu Mtaalam (GRTE)

Support HackTricks

• Angalia mpango wa michango!
• Jiunge na 💬 Kikundi cha Discord au kikundi cha telegram au tufuate kwenye Twitter 🐦 @hacktricks_live.
• Shiriki mbinu za udukuzi kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud github repos.

{% endhint %}

Vyombo vya Carving

Autopsy

Zana ya kawaida sana inayotumiwa katika uchunguzi wa kiforensiki kutoa faili kutoka kwa picha ni Autopsy. Pakua, iweke na ifanye iingize faili ili kupata faili "zilizofichwa". Kumbuka kwamba Autopsy imejengwa kusaidia picha za diski na aina nyingine za picha, lakini sio faili za kawaida.

Binwalk

Binwalk ni zana ya kutafuta faili za binary kama picha na faili za sauti kwa faili zilizojumuishwa na data. Inaweza kusakinishwa na apt hata hivyo chanzo kinaweza kupatikana kwenye github. Amri muhimu:

sudo apt install binwalk #Insllation
binwalk file #Displays the embedded data in the given file
binwalk -e file #Displays and extracts some files from the given file
binwalk --dd ".*" file #Displays and extracts all files from the given file

Foremost

Chombo kingine cha kawaida cha kutafuta faili zilizofichwa ni foremost. Unaweza kupata faili ya usanidi wa foremost katika /etc/foremost.conf. Ikiwa unataka tu kutafuta baadhi ya faili maalum, toa alama ya maoni kwao. Ikiwa hutotoa alama ya maoni kwa kitu chochote, foremost itatafuta aina zilizowekwa kwa msingi.

sudo apt-get install foremost
foremost -v -i file.img -o output
#Discovered files will appear inside the folder "output"

Scalpel

Scalpel ni chombo kingine kinachoweza kutumika kutafuta na kutoa faili zilizojumuishwa katika faili. Katika kesi hii utahitaji kufuta maoni kutoka kwenye faili ya usanidi _/etc/scalpel/scalpel.conf_ aina za faili unazotaka izitoa.

sudo apt-get install scalpel
scalpel file.img -o output

Bulk Extractor

Zana hii iko ndani ya kali lakini unaweza kuipata hapa: https://github.com/simsong/bulk_extractor

Zana hii inaweza skani picha na kutoa pcaps ndani yake, taarifa za mtandao(URLs, uwanja, IPs, MACs, barua pepe) na faili zaidi. Unachohitaji kufanya ni:

bulk_extractor memory.img -o out_folder

Pitia maelezo yote ambayo chombo kimekusanya nywila?, chambua pakiti soma [**Uchambuzi wa Pcaps**](../uchunguzi-wa-pcap/), tafuta vikoa vya ajabu vikoa vinavyohusiana na **programu hasidi** au **visivyokuwepo**.

PhotoRec

Unaweza kuipata kwenye https://www.cgsecurity.org/wiki/TestDisk_Download

Inakuja na toleo la GUI na CLI. Unaweza kuchagua aina za faili unazotaka PhotoRec iitafute.

Vyombo vya Kuchonga Data Maalum

FindAES

Inatafuta funguo za AES kwa kutafuta ratiba zao za funguo. Inaweza kupata funguo za biti 128, 192, na 256, kama zile zinazotumiwa na TrueCrypt na BitLocker.

Pakua hapa.

Vyombo vya Kuboresha

Unaweza kutumia viu kuona picha kutoka kwenye terminal. Unaweza kutumia chombo cha mstari wa amri cha linux pdftotext kubadilisha pdf kuwa maandishi na kusoma.