File/Data Carving & Recovery Tools

从零开始学习AWS黑客技术，成为专家 htARTE（HackTricks AWS红队专家）！

支持HackTricks的其他方式：

如果您想看到您的公司在HackTricks中做广告或下载PDF格式的HackTricks，请查看订阅计划!
获取官方PEASS & HackTricks周边产品
探索PEASS家族，我们的独家NFTs
加入 💬 Discord群 或 电报群 或关注我们的Twitter 🐦 @hacktricks_live。
通过向HackTricks和HackTricks Cloud github仓库提交PR来分享您的黑客技巧。

Try Hard Security Group

Join the Try Hard Security Discord Server!Discord

切割和恢复工具

Autopsy

在取证中最常用的提取图像文件的工具是Autopsy。下载、安装并让其摄取文件以查找“隐藏”文件。请注意，Autopsy旨在支持磁盘映像和其他类型的映像，而不是简单文件。

Binwalk

Binwalk是用于分析二进制文件以查找嵌入内容的工具。可通过apt安装，其源代码位于GitHub。

有用的命令：

sudo apt install binwalk #Insllation
binwalk file #Displays the embedded data in the given file
binwalk -e file #Displays and extracts some files from the given file
binwalk --dd ".*" file #Displays and extracts all files from the given file

Foremost

另一个常用的查找隐藏文件的工具是foremost。您可以在/etc/foremost.conf中找到foremost的配置文件。如果您只想搜索一些特定文件，请取消注释。如果您不取消注释任何内容，foremost将搜索其默认配置的文件类型。

sudo apt-get install foremost
foremost -v -i file.img -o output
#Discovered files will appear inside the folder "output"

Scalpel

Scalpel 是另一个工具，可用于查找和提取嵌入在文件中的文件。在这种情况下，您需要从配置文件（/etc/scalpel/scalpel.conf）中取消注释您希望提取的文件类型。

sudo apt-get install scalpel
scalpel file.img -o output

Bulk Extractor

这个工具包含在kali中，但你也可以在这里找到它：https://github.com/simsong/bulk_extractor

这个工具可以扫描一个镜像，并且会提取其中的pcaps，网络信息（URLs、域名、IP地址、MAC地址、邮件）以及更多文件。你只需要执行以下操作：

bulk_extractor memory.img -o out_folder

PhotoRec

您可以在https://www.cgsecurity.org/wiki/TestDisk_Download找到它。

它带有 GUI 和 CLI 版本。您可以选择要让 PhotoRec 搜索的文件类型。

binvis

检查代码和网页工具。

BinVis 的特点

可视化和活跃的结构查看器
不同焦点的多个绘图
集中在样本的部分
在 PE 或 ELF 可执行文件中查看字符串和资源
从文件中获取用于密码分析的模式
发现打包程序或编码器算法
通过模式识别隐写术
视觉二进制差异

BinVis 是在黑盒测试场景中熟悉未知目标的起点。

特定数据刻录工具

FindAES

通过搜索其密钥计划来搜索 AES 密钥。能够找到用于 TrueCrypt 和 BitLocker 等的 128、192 和 256 位密钥。

在此处下载。

附加工具

您可以使用viu来在终端中查看图像。您可以使用 Linux 命令行工具pdftotext将 pdf 转换为文本并阅读它。

上一页Partitions/File Systems/Carving 下一页Pcap Inspection

最后更新于1年前