hacktricks/forensics/basic-forensic-methodology/partitions-file-systems-carving/file-data-carving-recovery-tools.md

ファイル/データカービングと回復ツール

{% hint style="success" %} AWSハッキングを学び、実践する：HackTricks Training AWS Red Team Expert (ARTE)
GCPハッキングを学び、実践する：HackTricks Training GCP Red Team Expert (GRTE)

HackTricksをサポートする

• サブスクリプションプランを確認してください！
• **💬 DiscordグループまたはTelegramグループに参加するか、Twitter 🐦 @hacktricks_liveをフォローしてください。
• HackTricksおよびHackTricks CloudのGitHubリポジトリにPRを提出してハッキングトリックを共有してください。

{% endhint %}

カービングと回復ツール

https://github.com/Claudio-C/awesome-datarecoveryにもっと多くのツールがあります

Autopsy

フォレンジックで画像からファイルを抽出するために最も一般的に使用されるツールはAutopsyです。ダウンロードしてインストールし、ファイルを取り込んで「隠れた」ファイルを見つけます。Autopsyはディスクイメージや他の種類のイメージをサポートするように構築されていますが、単純なファイルには対応していないことに注意してください。

Binwalk

Binwalkは、埋め込まれたコンテンツを見つけるためにバイナリファイルを分析するツールです。aptを介してインストール可能で、そのソースはGitHubにあります。

便利なコマンド：

sudo apt install binwalk #Insllation
binwalk file #Displays the embedded data in the given file
binwalk -e file #Displays and extracts some files from the given file
binwalk --dd ".*" file #Displays and extracts all files from the given file

Foremost

もう一つの一般的なツールはforemostです。foremostの設定ファイルは/etc/foremost.confにあります。特定のファイルを検索したい場合は、それらのコメントを外してください。何もコメントを外さなければ、foremostはデフォルトで設定されたファイルタイプを検索します。

sudo apt-get install foremost
foremost -v -i file.img -o output
#Discovered files will appear inside the folder "output"

スカルペル

スカルペルは、ファイルに埋め込まれたファイルを見つけて抽出するために使用できる別のツールです。この場合、抽出したいファイルタイプを設定ファイル（/etc/scalpel/scalpel.conf）からコメント解除する必要があります。

sudo apt-get install scalpel
scalpel file.img -o output

Bulk Extractor

このツールはkaliに含まれていますが、ここでも見つけることができます: https://github.com/simsong/bulk_extractor

このツールはイメージをスキャンし、その中にあるpcaps、ネットワーク情報（URL、ドメイン、IP、MAC、メール）、およびその他のファイルを抽出します。あなたがする必要があるのは:

bulk_extractor memory.img -o out_folder

すべての情報をナビゲートします（パスワード？）、パケットを分析します（Pcaps分析を参照）、奇妙なドメインを検索します（マルウェアや存在しないドメインに関連する）。

PhotoRec

https://www.cgsecurity.org/wiki/TestDisk_Downloadで見つけることができます。

GUIとCLIのバージョンがあります。PhotoRecが検索するファイルタイプを選択できます。

binvis

コードとウェブページツールを確認してください。

BinVisの特徴

• 視覚的でアクティブな構造ビューワー
• 異なる焦点のための複数のプロット
• サンプルの一部に焦点を当てる
• PEまたはELF実行可能ファイルの文字列とリソースを見る
• ファイルの暗号解析のためのパターンを取得
• パッカーまたはエンコーダアルゴリズムを特定
• パターンによるステガノグラフィの識別
• 視覚的なバイナリ差分

BinVisは、ブラックボックスシナリオで未知のターゲットに慣れるための素晴らしい出発点です。

特定のデータカービングツール

FindAES

AESキーのスケジュールを検索することでAESキーを検索します。TrueCryptやBitLockerで使用される128、192、256ビットのキーを見つけることができます。

こちらからダウンロード。

補完ツール

ターミナルから画像を見るためにviuを使用できます。
PDFをテキストに変換して読むために、Linuxコマンドラインツールpdftotextを使用できます。

{% hint style="success" %} AWSハッキングを学び、練習する：HackTricks Training AWS Red Team Expert (ARTE)
GCPハッキングを学び、練習する：HackTricks Training GCP Red Team Expert (GRTE)

HackTricksをサポートする

• サブスクリプションプランを確認してください！
• **💬 Discordグループまたはテレグラムグループに参加するか、Twitter 🐦 @hacktricks_liveをフォローしてください。
• ハッキングのトリックを共有するために、HackTricksとHackTricks CloudのGitHubリポジトリにPRを提出してください。**

{% endhint %}