File/Data Carving & Recovery Tools

Reading time: 6 minutes

Carving & Recovery tools

Daha fazla araç için https://github.com/Claudio-C/awesome-datarecovery

Autopsy

Görüntülerden dosya çıkarmak için adli bilimlerde en yaygın kullanılan araç Autopsy'dir. İndirin, kurun ve "gizli" dosyaları bulmak için dosyayı içe aktarmasını sağlayın. Autopsy'nin disk görüntüleri ve diğer türdeki görüntüleri destekleyecek şekilde tasarlandığını, ancak basit dosyaları desteklemediğini unutmayın.

2024-2025 güncellemesi – 4.21 sürümü (Şubat 2025'te yayımlandı) çoklu terabayt görüntüleriyle başa çıkarken belirgin şekilde daha hızlı olan ve çok çekirdekli sistemlerde paralel çıkarımı destekleyen yeniden yapılandırılmış carving modülü ekledi.¹ Ayrıca, CI/CD veya büyük ölçekli laboratuvar ortamlarında carving'i betiklemek mümkün kılan küçük bir CLI sarmalayıcı (autopsycli ingest <case> <image>) tanıtıldı.

# Create a case and ingest an evidence image from the CLI (Autopsy ≥4.21)
autopsycli case --create MyCase --base /cases
# ingest with the default ingest profile (includes data-carve module)
autopsycli ingest MyCase /evidence/disk01.E01 --threads 8

Binwalk

Binwalk, gömülü içeriği bulmak için ikili dosyaları analiz eden bir araçtır. apt ile kurulabilir ve kaynak kodu GitHub'ta bulunmaktadır.

Kullanışlı komutlar:

sudo apt install binwalk         # Installation
binwalk firmware.bin             # Display embedded data
binwalk -e firmware.bin          # Extract recognised objects (safe-default)
binwalk --dd " .* " firmware.bin  # Extract *everything* (use with care)

⚠️ Güvenlik notu – Sürümler ≤2.3.3 bir Path Traversal güvenlik açığından (CVE-2022-4510) etkilenmektedir. Güvensiz örnekleri kesmeden önce güncelleyin (veya bir konteyner/özel olmayan UID ile izole edin).

Foremost

Gizli dosyaları bulmak için başka bir yaygın araç foremost'tur. Foremost'un yapılandırma dosyasını /etc/foremost.conf içinde bulabilirsiniz. Belirli dosyaları aramak istiyorsanız, bunların yorumunu kaldırın. Hiçbir şeyi yorumdan çıkarmazsanız, foremost varsayılan olarak yapılandırılmış dosya türlerini arayacaktır.

sudo apt-get install foremost
foremost -v -i file.img -o output
# Discovered files will appear inside the folder "output"

Scalpel

Scalpel, bir dosya içinde gömülü dosyaları bulmak ve çıkarmak için kullanılabilecek başka bir araçtır. Bu durumda, çıkarmak istediğiniz dosya türlerini yapılandırma dosyasından (/etc/scalpel/scalpel.conf) yorum satırından çıkarmanız gerekecektir.

sudo apt-get install scalpel
scalpel file.img -o output

Bulk Extractor 2.x

Bu araç kali içinde gelir ama burada bulabilirsiniz: https://github.com/simsong/bulk_extractor

Bulk Extractor, bir kanıt görüntüsünü tarayabilir ve pcap parçalarını, ağ nesnelerini (URL'ler, alan adları, IP'ler, MAC'ler, e-postalar) ve birçok diğer nesneyi birden fazla tarayıcı kullanarak paralel olarak çıkarabilir.

# Build from source – v2.1.1 (April 2024) requires cmake ≥3.16
git clone https://github.com/simsong/bulk_extractor.git && cd bulk_extractor
mkdir build && cd build && cmake .. && make -j$(nproc) && sudo make install

# Run every scanner, carve JPEGs aggressively and generate a bodyfile
bulk_extractor -o out_folder -S jpeg_carve_mode=2 -S write_bodyfile=y /evidence/disk.img

Kullanışlı post-processing scriptleri (bulk_diff, bulk_extractor_reader.py), iki görüntü arasındaki artefaktları de-duplicate edebilir veya sonuçları SIEM alımı için JSON'a dönüştürebilir.

PhotoRec

Bunu https://www.cgsecurity.org/wiki/TestDisk_Download adresinde bulabilirsiniz.

GUI ve CLI sürümleri ile gelir. PhotoRec'in aramasını istediğiniz dosya türlerini seçebilirsiniz.

ddrescue + ddrescueview (başarısız sürücülerin görüntülenmesi)

Bir fiziksel sürücü istikrarsız olduğunda, en iyi uygulama önce görüntü almak ve yalnızca görüntü üzerinde carving araçlarını çalıştırmaktır. ddrescue (GNU projesi), okunamayan sektörlerin kaydını tutarak bozuk diskleri güvenilir bir şekilde kopyalamaya odaklanır.

sudo apt install gddrescue ddrescueview   # On Debian-based systems
# First pass – try to get as much data as possible without retries
sudo ddrescue -f -n /dev/sdX suspect.img suspect.log
# Second pass – aggressive, 3 retries on the remaining bad areas
sudo ddrescue -d -r3 /dev/sdX suspect.img suspect.log

# Visualise the status map (green=good, red=bad)
ddrescueview suspect.log

Version 1.28 (Aralık 2024) --cluster-size seçeneğini tanıttı; bu, geleneksel sektör boyutlarının artık flash bloklarıyla hizalanmadığı yüksek kapasiteli SSD'lerin görüntülenmesini hızlandırabilir.

Extundelete / Ext4magic (EXT 3/4 geri yükleme)

Kaynak dosya sistemi Linux EXT tabanlıysa, yakın zamanda silinmiş dosyaları tam carving olmadan kurtarabilirsiniz. Her iki araç da yalnızca okunabilir bir görüntü üzerinde doğrudan çalışır:

# Attempt journal-based undelete (metadata must still be present)
extundelete disk.img --restore-all

# Fallback to full directory scan; supports extents and inline data
ext4magic disk.img -M -f '*.jpg' -d ./recovered

🛈 Eğer dosya sistemi silindikten sonra monte edildiyse, veri blokları zaten yeniden kullanılmış olabilir - bu durumda uygun carving (Foremost/Scalpel) hala gereklidir.

binvis

code ve web page tool kontrol edin.

BinVis'in Özellikleri

• Görsel ve aktif yapı görüntüleyici
• Farklı odak noktaları için birden fazla grafik
• Bir örneğin bölümlerine odaklanma
• PE veya ELF yürütülebilir dosyalarda dize ve kaynakları görme
• Dosyalar üzerinde kriptoanaliz için desenler elde etme
• Packer veya kodlayıcı algoritmalarını belirleme
• Desenler ile Steganografi tanımlama
• Görsel ikili fark analizi

BinVis, bir kara kutu senaryosunda bilinmeyen bir hedefle tanışmak için harika bir başlangıç noktasıdır.

Özel Veri Carving Araçları

FindAES

Anahtar programlarını arayarak AES anahtarlarını arar. TrueCrypt ve BitLocker gibi 128, 192 ve 256 bit anahtarları bulabilir.

Buradan indirin.

YARA-X (carved artefaktların önceliklendirilmesi)

YARA-X, 2024'te yayımlanan YARA'nın Rust ile yeniden yazımıdır. Klasik YARA'dan 10-30× daha hızlıdır ve binlerce carved nesneyi çok hızlı bir şekilde sınıflandırmak için kullanılabilir:

# Scan every carved object produced by bulk_extractor
yarax -r rules/index.yar out_folder/ --threads 8 --print-meta

Hızlandırma, büyük ölçekli araştırmalarda tüm carved dosyaları auto-tag yapmayı gerçekçi hale getiriyor.

Tamamlayıcı araçlar

Terminalden görüntüleri görmek için viu kullanabilirsiniz.
Bir pdf'yi metne dönüştürmek ve okumak için linux komut satırı aracı pdftotext kullanabilirsiniz.

Referanslar

1. Autopsy 4.21 sürüm notları – https://github.com/sleuthkit/autopsy/releases/tag/autopsy-4.21