hacktricks/forensics/basic-forensic-methodology/partitions-file-systems-carving/file-data-carving-recovery-tools.md

☁️ HackTricks云 ☁️ -🐦 推特 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

• 你在一家网络安全公司工作吗？你想在HackTricks中看到你的公司广告吗？或者你想获得PEASS的最新版本或下载PDF格式的HackTricks吗？请查看订阅计划！

• 发现我们的独家NFTs收藏品The PEASS Family

• 获取官方PEASS和HackTricks周边产品

• 加入💬 Discord群组或电报群组，或者关注我在Twitter上的🐦@carlospolopm。

• 通过向hacktricks repo和hacktricks-cloud repo提交PR来分享你的黑客技巧。

找到最重要的漏洞，以便您可以更快地修复它们。Intruder跟踪您的攻击面，运行主动威胁扫描，发现整个技术堆栈中的问题，从API到Web应用程序和云系统。立即免费试用。

{% embed url="https://www.intruder.io/?utm_campaign=hacktricks&utm_source=referral" %}

---

雕刻和恢复工具

更多工具请参考https://github.com/Claudio-C/awesome-datarecovery

Autopsy

在取证中最常用的从镜像中提取文件的工具是Autopsy。下载并安装它，然后让它摄取文件以查找“隐藏”的文件。请注意，Autopsy是用于支持磁盘镜像和其他类型的镜像，而不是简单的文件。

Binwalk

Binwalk是一种用于搜索嵌入文件和数据的二进制文件（如图像和音频文件）的工具。
它可以使用apt安装，但是源代码可以在github上找到。
有用的命令：

sudo apt install binwalk #Insllation
binwalk file #Displays the embedded data in the given file
binwalk -e file #Displays and extracts some files from the given file
binwalk --dd ".*" file #Displays and extracts all files from the given file

Foremost

另一个常用的查找隐藏文件的工具是 foremost。你可以在 /etc/foremost.conf 中找到 foremost 的配置文件。如果你只想搜索一些特定的文件，取消注释它们。如果你没有取消注释任何内容，foremost 将搜索其默认配置的文件类型。

sudo apt-get install foremost
foremost -v -i file.img -o output
#Discovered files will appear inside the folder "output"

Scalpel

Scalpel是另一个可以用来查找和提取嵌入在文件中的文件的工具。在这种情况下，您需要从配置文件（/etc/scalpel/scalpel.conf）中取消注释您想要提取的文件类型。

sudo apt-get install scalpel
scalpel file.img -o output

Bulk Extractor

这个工具在kali中已经内置，但你也可以在这里找到它：https://github.com/simsong/bulk_extractor

这个工具可以扫描一个镜像，并从中提取出pcap文件、网络信息（URL、域名、IP、MAC地址、邮件）以及其他文件。你只需要执行以下操作：

bulk_extractor memory.img -o out_folder

浏览工具收集的所有信息（密码？），分析数据包（阅读Pcaps分析），搜索奇怪的域名（与恶意软件或不存在相关的域名）。

PhotoRec

您可以在https://www.cgsecurity.org/wiki/TestDisk_Download找到它。

它有GUI和CLI版本。您可以选择要PhotoRec搜索的文件类型。

binvis

检查代码和网页工具。

BinVis的特点

• 可视化和活动的结构查看器
• 不同焦点的多个图表
• 集中在样本的部分上
• 在PE或ELF可执行文件中查看字符串和资源
• 获取用于文件密码分析的模式
• 识别打包程序或编码器算法
• 通过模式识别隐写术
• 可视化二进制差异

在黑盒测试场景中，BinVis是熟悉未知目标的起点。

特定数据恢复工具

FindAES

通过搜索AES密钥的密钥计划来查找AES密钥。能够找到128、192和256位密钥，例如TrueCrypt和BitLocker使用的密钥。

在此处下载：https://sourceforge.net/projects/findaes/。

补充工具

您可以使用viu在终端上查看图像。
您可以使用Linux命令行工具pdftotext将PDF转换为文本并阅读。

查找最重要的漏洞，以便更快地修复它们。Intruder跟踪您的攻击面，运行主动威胁扫描，发现整个技术堆栈中的问题，从API到Web应用程序和云系统。立即免费试用。

{% embed url="https://www.intruder.io/?utm_campaign=hacktricks&utm_source=referral" %}

☁️ HackTricks云 ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

• 您在网络安全公司工作吗？您想在HackTricks中看到您的公司广告吗？或者您想获得最新版本的PEASS或下载PDF格式的HackTricks吗？请查看订阅计划！

• 发现我们的独家NFT收藏品The PEASS Family

• 获取官方PEASS和HackTricks衣物

• 加入💬 Discord群组或电报群组，或在Twitter上关注我🐦@carlospolopm。

• 通过向hacktricks repo和hacktricks-cloud repo提交PR来分享您的黑客技巧。