File/Data Carving & Recovery Tools

Reading time: 4 minutes

Carving & Recovery tools

Більше інструментів на https://github.com/Claudio-C/awesome-datarecovery

Autopsy

Найбільш поширений інструмент, що використовується в судовій експертизі для витягування файлів з образів, це Autopsy. Завантажте його, встановіть і дайте йому обробити файл, щоб знайти "сховані" файли. Зверніть увагу, що Autopsy створено для підтримки образів дисків та інших видів образів, але не простих файлів.

Binwalk

Binwalk - це інструмент для аналізу бінарних файлів з метою виявлення вбудованого контенту. Його можна встановити через apt, а його вихідний код знаходиться на GitHub.

Корисні команди:

sudo apt install binwalk #Insllation
binwalk file #Displays the embedded data in the given file
binwalk -e file #Displays and extracts some files from the given file
binwalk --dd ".*" file #Displays and extracts all files from the given file

Foremost

Ще один поширений інструмент для знаходження прихованих файлів - це foremost. Ви можете знайти файл конфігурації foremost у /etc/foremost.conf. Якщо ви хочете шукати лише деякі конкретні файли, зніміть коментар з них. Якщо ви нічого не знімете, foremost буде шукати файли за замовчуванням.

sudo apt-get install foremost
foremost -v -i file.img -o output
#Discovered files will appear inside the folder "output"

Scalpel

Scalpel - це ще один інструмент, який можна використовувати для знаходження та вилучення файлів, вбудованих у файл. У цьому випадку вам потрібно буде зняти коментарі з файлів конфігурації (/etc/scalpel/scalpel.conf), типи файлів, які ви хочете, щоб він вилучив.

sudo apt-get install scalpel
scalpel file.img -o output

Bulk Extractor

Цей інструмент входить до складу kali, але ви можете знайти його тут: https://github.com/simsong/bulk_extractor

Цей інструмент може сканувати зображення і витягувати pcaps всередині нього, мережеву інформацію (URL, домени, IP, MAC, електронні листи) та інші файли. Вам потрібно лише зробити:

bulk_extractor memory.img -o out_folder

Перегляньте всю інформацію, яку зібрав інструмент (паролі?), проаналізуйте пакети (читайте аналіз Pcaps), шукайте незвичайні домени (домени, пов'язані з шкідливим ПЗ або неіснуючими).

PhotoRec

Ви можете знайти його на https://www.cgsecurity.org/wiki/TestDisk_Download

Він постачається з версіями GUI та CLI. Ви можете вибрати типи файлів, які хочете, щоб PhotoRec шукав.

binvis

Перевірте код та веб-сторінку інструмента.

Особливості BinVis

• Візуальний та активний переглядач структури
• Кілька графіків для різних фокусних точок
• Фокусування на частинах зразка
• Перегляд рядків та ресурсів у PE або ELF виконуваних файлах, наприклад
• Отримання шаблонів для криптоаналізу файлів
• Виявлення алгоритмів пакування або кодування
• Ідентифікація стеганографії за шаблонами
• Візуальне бінарне порівняння

BinVis є чудовою відправною точкою для ознайомлення з невідомою ціллю в сценарії чорного ящика.

Специфічні інструменти для карвінгу даних

FindAES

Шукає ключі AES, досліджуючи їх графіки ключів. Може знаходити ключі 128, 192 та 256 біт, такі як ті, що використовуються TrueCrypt та BitLocker.

Завантажте тут.

Додаткові інструменти

Ви можете використовувати viu , щоб переглядати зображення з терміналу.
Ви можете використовувати командний рядок linux pdftotext, щоб перетворити pdf у текст і прочитати його.