File/Data Carving & Recovery Tools
Reading time: 4 minutes
tip
Aprende y practica AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Aprende y practica GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Apoya a HackTricks
- Revisa los planes de suscripción!
- Únete al 💬 grupo de Discord o al grupo de telegram o síguenos en Twitter 🐦 @hacktricks_live.
- Comparte trucos de hacking enviando PRs a HackTricks y HackTricks Cloud repos de github.
Herramientas de Carving y Recuperación
Más herramientas en https://github.com/Claudio-C/awesome-datarecovery
Autopsy
La herramienta más común utilizada en forenses para extraer archivos de imágenes es Autopsy. Descárgala, instálala y haz que ingiera el archivo para encontrar archivos "ocultos". Ten en cuenta que Autopsy está diseñada para soportar imágenes de disco y otros tipos de imágenes, pero no archivos simples.
Binwalk
Binwalk es una herramienta para analizar archivos binarios y encontrar contenido incrustado. Se puede instalar a través de apt
y su código fuente está en GitHub.
Comandos útiles:
sudo apt install binwalk #Insllation
binwalk file #Displays the embedded data in the given file
binwalk -e file #Displays and extracts some files from the given file
binwalk --dd ".*" file #Displays and extracts all files from the given file
Foremost
Otra herramienta común para encontrar archivos ocultos es foremost. Puedes encontrar el archivo de configuración de foremost en /etc/foremost.conf
. Si solo deseas buscar algunos archivos específicos, descoméntalos. Si no descomentas nada, foremost buscará sus tipos de archivo configurados por defecto.
sudo apt-get install foremost
foremost -v -i file.img -o output
#Discovered files will appear inside the folder "output"
Scalpel
Scalpel es otra herramienta que se puede utilizar para encontrar y extraer archivos incrustados en un archivo. En este caso, necesitarás descomentar del archivo de configuración (/etc/scalpel/scalpel.conf) los tipos de archivo que deseas que extraiga.
sudo apt-get install scalpel
scalpel file.img -o output
Bulk Extractor
Esta herramienta viene dentro de kali, pero puedes encontrarla aquí: https://github.com/simsong/bulk_extractor
Esta herramienta puede escanear una imagen y extraer pcaps dentro de ella, información de red (URLs, dominios, IPs, MACs, correos) y más archivos. Solo tienes que hacer:
bulk_extractor memory.img -o out_folder
Navega a través de toda la información que la herramienta ha recopilado (¿contraseñas?), analiza los paquetes (lee análisis de Pcaps), busca dominios extraños (dominios relacionados con malware o inexistentes).
PhotoRec
Puedes encontrarlo en https://www.cgsecurity.org/wiki/TestDisk_Download
Viene con versiones GUI y CLI. Puedes seleccionar los tipos de archivo que deseas que PhotoRec busque.
binvis
Revisa el código y la página web de la herramienta.
Características de BinVis
- Visualizador de estructura visual y activa
- Múltiples gráficos para diferentes puntos de enfoque
- Enfocándose en porciones de una muestra
- Viendo cadenas y recursos, en ejecutables PE o ELF, por ejemplo.
- Obteniendo patrones para criptoanálisis en archivos
- Detectando algoritmos de empaquetado o codificación
- Identificar esteganografía por patrones
- Diferenciación binaria visual
BinVis es un gran punto de partida para familiarizarse con un objetivo desconocido en un escenario de caja negra.
Herramientas específicas de recuperación de datos
FindAES
Busca claves AES buscando sus horarios de clave. Capaz de encontrar claves de 128, 192 y 256 bits, como las utilizadas por TrueCrypt y BitLocker.
Descarga aquí.
Herramientas complementarias
Puedes usar viu para ver imágenes desde la terminal.
Puedes usar la herramienta de línea de comandos de linux pdftotext para transformar un pdf en texto y leerlo.
tip
Aprende y practica AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Aprende y practica GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Apoya a HackTricks
- Revisa los planes de suscripción!
- Únete al 💬 grupo de Discord o al grupo de telegram o síguenos en Twitter 🐦 @hacktricks_live.
- Comparte trucos de hacking enviando PRs a HackTricks y HackTricks Cloud repos de github.