File/Data Carving & Recovery Tools

Reading time: 4 minutes

tip

Aprende y practica AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Aprende y practica GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Apoya a HackTricks

Herramientas de Carving y Recuperación

Más herramientas en https://github.com/Claudio-C/awesome-datarecovery

Autopsy

La herramienta más común utilizada en forenses para extraer archivos de imágenes es Autopsy. Descárgala, instálala y haz que ingiera el archivo para encontrar archivos "ocultos". Ten en cuenta que Autopsy está diseñada para soportar imágenes de disco y otros tipos de imágenes, pero no archivos simples.

Binwalk

Binwalk es una herramienta para analizar archivos binarios y encontrar contenido incrustado. Se puede instalar a través de apt y su código fuente está en GitHub.

Comandos útiles:

bash
sudo apt install binwalk #Insllation
binwalk file #Displays the embedded data in the given file
binwalk -e file #Displays and extracts some files from the given file
binwalk --dd ".*" file #Displays and extracts all files from the given file

Foremost

Otra herramienta común para encontrar archivos ocultos es foremost. Puedes encontrar el archivo de configuración de foremost en /etc/foremost.conf. Si solo deseas buscar algunos archivos específicos, descoméntalos. Si no descomentas nada, foremost buscará sus tipos de archivo configurados por defecto.

bash
sudo apt-get install foremost
foremost -v -i file.img -o output
#Discovered files will appear inside the folder "output"

Scalpel

Scalpel es otra herramienta que se puede utilizar para encontrar y extraer archivos incrustados en un archivo. En este caso, necesitarás descomentar del archivo de configuración (/etc/scalpel/scalpel.conf) los tipos de archivo que deseas que extraiga.

bash
sudo apt-get install scalpel
scalpel file.img -o output

Bulk Extractor

Esta herramienta viene dentro de kali, pero puedes encontrarla aquí: https://github.com/simsong/bulk_extractor

Esta herramienta puede escanear una imagen y extraer pcaps dentro de ella, información de red (URLs, dominios, IPs, MACs, correos) y más archivos. Solo tienes que hacer:

bulk_extractor memory.img -o out_folder

Navega a través de toda la información que la herramienta ha recopilado (¿contraseñas?), analiza los paquetes (lee análisis de Pcaps), busca dominios extraños (dominios relacionados con malware o inexistentes).

PhotoRec

Puedes encontrarlo en https://www.cgsecurity.org/wiki/TestDisk_Download

Viene con versiones GUI y CLI. Puedes seleccionar los tipos de archivo que deseas que PhotoRec busque.

binvis

Revisa el código y la página web de la herramienta.

Características de BinVis

  • Visualizador de estructura visual y activa
  • Múltiples gráficos para diferentes puntos de enfoque
  • Enfocándose en porciones de una muestra
  • Viendo cadenas y recursos, en ejecutables PE o ELF, por ejemplo.
  • Obteniendo patrones para criptoanálisis en archivos
  • Detectando algoritmos de empaquetado o codificación
  • Identificar esteganografía por patrones
  • Diferenciación binaria visual

BinVis es un gran punto de partida para familiarizarse con un objetivo desconocido en un escenario de caja negra.

Herramientas específicas de recuperación de datos

FindAES

Busca claves AES buscando sus horarios de clave. Capaz de encontrar claves de 128, 192 y 256 bits, como las utilizadas por TrueCrypt y BitLocker.

Descarga aquí.

Herramientas complementarias

Puedes usar viu para ver imágenes desde la terminal.
Puedes usar la herramienta de línea de comandos de linux pdftotext para transformar un pdf en texto y leerlo.

tip

Aprende y practica AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Aprende y practica GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Apoya a HackTricks