File/Data Carving & Recovery Tools

Reading time: 4 minutes

tip

Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Ondersteun HackTricks

Carving & Recovery tools

Meer gereedskap in https://github.com/Claudio-C/awesome-datarecovery

Autopsy

Die mees algemene gereedskap wat in forensiese ondersoeke gebruik word om lĂȘers uit beelde te onttrek, is Autopsy. Laai dit af, installeer dit en laat dit die lĂȘer verwerk om "versteekte" lĂȘers te vind. Let daarop dat Autopsy gebou is om skyfbeelde en ander soorte beelde te ondersteun, maar nie eenvoudige lĂȘers nie.

Binwalk

Binwalk is 'n gereedskap om binĂȘre lĂȘers te analiseer om ingebedde inhoud te vind. Dit kan geĂŻnstalleer word via apt en sy bron is op GitHub.

Nuttige opdragte:

bash
sudo apt install binwalk #Insllation
binwalk file #Displays the embedded data in the given file
binwalk -e file #Displays and extracts some files from the given file
binwalk --dd ".*" file #Displays and extracts all files from the given file

Foremost

Nog 'n algemene hulpmiddel om verborge lĂȘers te vind, is foremost. Jy kan die konfigurasielĂȘer van foremost in /etc/foremost.conf vind. As jy net vir 'n paar spesifieke lĂȘers wil soek, ontkommentarieer hulle. As jy niks ontkommentarieer nie, sal foremost vir sy standaard geconfigureerde lĂȘertipes soek.

bash
sudo apt-get install foremost
foremost -v -i file.img -o output
#Discovered files will appear inside the folder "output"

Scalpel

Scalpel is 'n ander hulpmiddel wat gebruik kan word om lĂȘers wat in 'n lĂȘer ingebed is te vind en te onttrek. In hierdie geval sal jy die lĂȘertipes wat jy wil hĂȘ dit moet onttrek, uit die konfigurasie-lĂȘer (/etc/scalpel/scalpel.conf) moet ontkommentaar.

bash
sudo apt-get install scalpel
scalpel file.img -o output

Bulk Extractor

Hierdie hulpmiddel kom binne Kali, maar jy kan dit hier vind: https://github.com/simsong/bulk_extractor

Hierdie hulpmiddel kan 'n beeld skandeer en sal pcaps daarin onttrek, netwerk inligting (URL's, domeine, IP's, MAC's, e-pos) en meer lĂȘers. Jy hoef net te doen:

bulk_extractor memory.img -o out_folder

Navigeer deur alle inligting wat die hulpmiddel versamel het (wagwoorde?), analiseer die pakkette (lees Pcaps analise), soek na vreemde domeine (domeine wat verband hou met malware of nie-bestaande).

PhotoRec

Jy kan dit vind in https://www.cgsecurity.org/wiki/TestDisk_Download

Dit kom met GUI en CLI weergawes. Jy kan die lĂȘer-tipes kies waarvoor jy wil hĂȘ PhotoRec moet soek.

binvis

Kyk na die kode en die webblad hulpmiddel.

Kenmerke van BinVis

  • Visuele en aktiewe struktuurkyker
  • Meervoudige grafieke vir verskillende fokuspunte
  • Fokus op gedeeltes van 'n monster
  • Sien stings en hulpbronne, in PE of ELF uitvoerbare lĂȘers bv.
  • Kry patrone vir kriptoanalise op lĂȘers
  • Identifiseer pakkers of kodering algoritmes
  • Identifiseer Steganografie deur patrone
  • Visuele binĂȘre-diffing

BinVis is 'n uitstekende beginpunt om bekend te raak met 'n onbekende teiken in 'n swart-doos scenario.

Spesifieke Data Carving Hulpmiddels

FindAES

Soek na AES sleutels deur hul sleutel skedules te soek. In staat om 128, 192, en 256 bit sleutels te vind, soos dié wat deur TrueCrypt en BitLocker gebruik word.

Laai hier af.

Aanvullende hulpmiddels

Jy kan viu gebruik om beelde vanaf die terminal te sien.
Jy kan die linux opdraglyn hulpmiddel pdftotext gebruik om 'n pdf in teks te omskep en dit te lees.

tip

Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Ondersteun HackTricks