Outils de Carving & de Récupération de Fichiers/Données

Tip

Apprenez et pratiquez le hacking AWS :HackTricks Training AWS Red Team Expert (ARTE)
Apprenez et pratiquez le hacking GCP : HackTricks Training GCP Red Team Expert (GRTE) Apprenez et pratiquez le hacking Azure : HackTricks Training Azure Red Team Expert (AzRTE)

Soutenir HackTricks

Outils de Carving & de Récupération

Plus d’outils sur https://github.com/Claudio-C/awesome-datarecovery

Autopsy

L’outil le plus couramment utilisĂ© en criminalistique pour extraire des fichiers d’images est Autopsy. TĂ©lĂ©chargez-le, installez-le et faites-lui ingĂ©rer le fichier pour trouver des fichiers “cachĂ©s”. Notez qu’Autopsy est conçu pour prendre en charge les images disque et d’autres types d’images, mais pas les fichiers simples.

Binwalk

Binwalk est un outil pour analyser des fichiers binaires afin de trouver du contenu intégré. Il est installable via apt et sa source est sur GitHub.

Commandes utiles :

sudo apt install binwalk #Insllation
binwalk file #Displays the embedded data in the given file
binwalk -e file #Displays and extracts some files from the given file
binwalk --dd ".*" file #Displays and extracts all files from the given file

Foremost

Un autre outil courant pour trouver des fichiers cachés est foremost. Vous pouvez trouver le fichier de configuration de foremost dans /etc/foremost.conf. Si vous souhaitez simplement rechercher des fichiers spécifiques, décommentez-les. Si vous ne décommentez rien, foremost recherchera ses types de fichiers configurés par défaut.

sudo apt-get install foremost
foremost -v -i file.img -o output
#Discovered files will appear inside the folder "output"

Scalpel

Scalpel est un autre outil qui peut ĂȘtre utilisĂ© pour trouver et extraire des fichiers intĂ©grĂ©s dans un fichier. Dans ce cas, vous devrez dĂ©commenter dans le fichier de configuration (/etc/scalpel/scalpel.conf) les types de fichiers que vous souhaitez qu’il extraye.

sudo apt-get install scalpel
scalpel file.img -o output

Bulk Extractor

Cet outil est inclus dans Kali, mais vous pouvez le trouver ici : https://github.com/simsong/bulk_extractor

Cet outil peut analyser une image et extraire des pcaps Ă  l’intĂ©rieur, des informations rĂ©seau (URLs, domaines, IPs, MACs, mails) et d’autres fichiers. Vous n’avez qu’à faire :

bulk_extractor memory.img -o out_folder

Naviguez Ă  travers toutes les informations que l’outil a rassemblĂ©es (mots de passe ?), analysez les paquets (lisez Analyse des Pcaps), recherchez des domaines Ă©tranges (domaines liĂ©s Ă  des malwares ou inexistants).

PhotoRec

Vous pouvez le trouver sur https://www.cgsecurity.org/wiki/TestDisk_Download

Il est disponible en versions GUI et CLI. Vous pouvez sélectionner les types de fichiers que vous souhaitez que PhotoRec recherche.

binvis

VĂ©rifiez le code et la page web de l’outil.

Fonctionnalités de BinVis

  • Visualiseur de structure visuel et actif
  • Plusieurs graphiques pour diffĂ©rents points de focalisation
  • Focalisation sur des portions d’un Ă©chantillon
  • Voir les chaĂźnes et ressources, dans des exĂ©cutables PE ou ELF, par exemple
  • Obtenir des modĂšles pour la cryptanalyse sur des fichiers
  • RepĂ©rer des algorithmes de packer ou d’encodeur
  • Identifier la stĂ©ganographie par des motifs
  • DiffĂ©renciation binaire visuelle

BinVis est un excellent point de départ pour se familiariser avec une cible inconnue dans un scénario de black-boxing.

Outils de Data Carving spécifiques

FindAES

Recherche des clés AES en cherchant leurs plannings de clés. Capable de trouver des clés de 128, 192 et 256 bits, telles que celles utilisées par TrueCrypt et BitLocker.

Téléchargez ici.

Outils complémentaires

Vous pouvez utiliser viu pour voir des images depuis le terminal.
Vous pouvez utiliser l’outil en ligne de commande linux pdftotext pour transformer un pdf en texte et le lire.

Tip

Apprenez et pratiquez le hacking AWS :HackTricks Training AWS Red Team Expert (ARTE)
Apprenez et pratiquez le hacking GCP : HackTricks Training GCP Red Team Expert (GRTE) Apprenez et pratiquez le hacking Azure : HackTricks Training Azure Red Team Expert (AzRTE)

Soutenir HackTricks