hacktricks/forensics/basic-forensic-methodology/partitions-file-systems-carving/file-data-carving-tools.md

AWSハッキングをゼロからヒーローまで学ぶには htARTE (HackTricks AWS Red Team Expert)をチェックしてください！

HackTricksをサポートする他の方法:

• HackTricksにあなたの会社を広告したい、またはHackTricksをPDFでダウンロードしたい場合は、サブスクリプションプランをチェックしてください。
• 公式PEASS & HackTricksグッズを入手してください。
• The PEASS Familyを発見し、独占的なNFTsのコレクションをチェックしてください。
• 💬 Discordグループやテレグラムグループに参加するか、Twitter 🐦 @carlospolopmでフォローしてください。
• HackTricksのGitHubリポジトリやHackTricks CloudにPRを提出して、あなたのハッキングのコツを共有してください。

Carvingツール

Autopsy

フォレンジックで画像からファイルを抽出するために最も一般的に使用されるツールはAutopsyです。ダウンロードしてインストールし、"隠された"ファイルを見つけるためにファイルを取り込んでください。Autopsyはディスクイメージやその他の種類のイメージをサポートするように構築されていますが、単純なファイルはサポートしていません。

Binwalk

Binwalkは、埋め込まれたファイルやデータを検索するためのバイナリファイル（画像やオーディオファイルなど）用のツールです。 aptでインストールできますが、ソースはGitHubで見つけることができます。 役立つコマンド:

sudo apt install binwalk #Insllation
binwalk file #Displays the embedded data in the given file
binwalk -e file #Displays and extracts some files from the given file
binwalk --dd ".*" file #Displays and extracts all files from the given file

Foremost

隠されたファイルを見つけるための一般的なツールはforemostです。foremostの設定ファイルは/etc/foremost.confにあります。特定のファイルだけを検索したい場合は、それらのコメントを外してください。何もコメントを外さない場合、foremostはデフォルトで設定されているファイルタイプを検索します。

sudo apt-get install foremost
foremost -v -i file.img -o output
#Discovered files will appear inside the folder "output"

Scalpel

Scalpel は、ファイルに埋め込まれたファイルを見つけて抽出するために使用できる別のツールです。この場合、抽出したいファイルタイプに応じて、設定ファイル（/etc/scalpel/scalpel.conf）からコメントを外す必要があります。

sudo apt-get install scalpel
scalpel file.img -o output

Bulk Extractor

このツールはKaliに含まれていますが、こちらで見つけることができます: https://github.com/simsong/bulk_extractor

このツールはイメージをスキャンし、内部のpcapsを抽出し、ネットワーク情報(URL、ドメイン、IP、MAC、メール) などのファイルを抽出します。次の操作をするだけです:

bulk_extractor memory.img -o out_folder

ツールが収集したすべての情報をナビゲートし（パスワード？）、パケットを分析します（Pcaps分析を読む）、奇妙なドメインを探します（マルウェアに関連するドメインや存在しないドメイン）。

PhotoRec

https://www.cgsecurity.org/wiki/TestDisk_Downloadで見つけることができます。

GUIとCLIバージョンがあります。PhotoRecに検索させたいファイルタイプを選択できます。

特定のデータカービングツール

FindAES

AESキーをそのキースケジュールを検索することで探します。TrueCryptやBitLockerなどに使用される128、192、256ビットキーを見つけることができます。

こちらからダウンロードしてください。

補助ツール

viuを使用して、ターミナルから画像を表示することができます。 Linuxコマンドラインツールのpdftotextを使用して、PDFをテキストに変換し、読むことができます。

htARTE (HackTricks AWS Red Team Expert)で AWSハッキングをゼロからヒーローまで学ぶ！

HackTricksをサポートする他の方法：

• HackTricksに広告を掲載したい場合やHackTricksをPDFでダウンロードしたい場合は、サブスクリプションプランをチェックしてください！
• 公式PEASS & HackTricksグッズを手に入れましょう。
• The PEASS Familyを発見し、独占的なNFTコレクションをチェックしてください。
• 💬 Discordグループやテレグラムグループに参加するか、Twitter 🐦 @carlospolopmでフォローしてください。
• HackTricksとHackTricks CloudのgithubリポジトリにPRを提出して、あなたのハッキングのコツを共有してください。