hacktricks/forensics/basic-forensic-methodology/partitions-file-systems-carving/file-data-carving-recovery-tools.md

6.5 KiB

Lêer/Data Uithol & Herstelgereedskap

Leer AWS-hacking vanaf nul tot held met htARTE (HackTricks AWS Red Team Expert)!

Ander maniere om HackTricks te ondersteun:

Try Hard Security Group

{% embed url="https://discord.gg/tryhardsecurity" %}


Uithol & Herstelgereedskap

Meer gereedskap in https://github.com/Claudio-C/awesome-datarecovery

Autopsy

Die mees algemene gereedskap wat in forensika gebruik word om lêers uit beelde te onttrek is Autopsy. Laai dit af, installeer dit en laat dit die lêer inneem om "verborge" lêers te vind. Let daarop dat Autopsy gebou is om skyfbeeld en ander soorte beelde te ondersteun, maar nie eenvoudige lêers nie.

Binwalk

Binwalk is 'n gereedskap vir die analise van binêre lêers om ingeslote inhoud te vind. Dit is installeerbaar via apt en die bron is op GitHub.

Nuttige bevele:

sudo apt install binwalk #Insllation
binwalk file #Displays the embedded data in the given file
binwalk -e file #Displays and extracts some files from the given file
binwalk --dd ".*" file #Displays and extracts all files from the given file

Foremost

'n Ander algemene instrument om verskuilde lêers te vind is foremost. Jy kan die opsetlêer van foremost vind in /etc/foremost.conf. As jy net wil soek na spesifieke lêers, moet jy hulle uitkommentarieer. As jy niks uitkommentarieer nie, sal foremost soek na sy verstek geconfigureerde lêertipes.

sudo apt-get install foremost
foremost -v -i file.img -o output
#Discovered files will appear inside the folder "output"

Scalpel

Scalpel is nog 'n instrument wat gebruik kan word om lêers wat in 'n lêer ingebed is te vind en te onttrek. In hierdie geval sal jy nodig wees om uit die konfigurasie lêer (/etc/scalpel/scalpel.conf) die lêertipes wat jy wil onttrek, te ontkommentarieer.

sudo apt-get install scalpel
scalpel file.img -o output

Bulk Extractor

Hierdie gereedskap kom binne Kali, maar jy kan dit hier vind: https://github.com/simsong/bulk_extractor

Hierdie gereedskap kan 'n beeld skandeer en sal pcaps onttrek binne dit, netwerk inligting (URL's, domeine, IP's, MAC's, e-posse) en meer lêers. Jy hoef net te doen:

bulk_extractor memory.img -o out_folder

Navigeer deur alle inligting wat die instrument ingesamel het (wagwoorde?), analiseer die pakette (lees Pcaps-analise), soek na vreemde domeine (domeine verwant aan malware of nie-bestaande).

PhotoRec

Jy kan dit vind op https://www.cgsecurity.org/wiki/TestDisk_Download

Dit kom met GUI- en CLI-weergawes. Jy kan die lêertipes kies wat PhotoRec moet soek.

binvis

Kyk na die kode en die webwerf-instrument.

Kenmerke van BinVis

  • Visuele en aktiewe struktuurkyker
  • Verskeie grafieke vir verskillende fokuspunte
  • Fokus op dele van 'n monster
  • Sien van reekse en bronne, in PE of ELF uitvoerbare lêers bv.
  • Kry patrone vir kriptontleding van lêers
  • Opmerk pakkerversekerings- of enkodeeralgoritmes
  • Identifiseer Steganografie deur patrone
  • Visuele binêre-verskil

BinVis is 'n goeie beginpunt om vertroud te raak met 'n onbekende teiken in 'n swart-boksing scenario.

Spesifieke Data Carving-instrumente

FindAES

Soek na AES-sleutels deur te soek na hul sleutelskedules. In staat om 128, 192, en 256 bit sleutels te vind, soos dié wat deur TrueCrypt en BitLocker gebruik word.

Laai af hier.

Aanvullende instrumente

Jy kan viu gebruik om beelde van die terminaal te sien.
Jy kan die linux-opdraglyn-instrument pdftotext gebruik om 'n pdf in te skakel na teks en dit te lees.

Probeer Hard Security Group

{% embed url="https://discord.gg/tryhardsecurity" %}

Leer AWS-hacking vanaf nul tot held met htARTE (HackTricks AWS Red Team Expert)!

Ander maniere om HackTricks te ondersteun: