search

File/Data Carving & Recovery Tools

chevron-right从零开始学习AWS黑客技术,成为专家 htARTE(HackTricks AWS红队专家)arrow-up-righthashtag

支持HackTricks的其他方式:

Try Hard Security Group

LogoJoin the Try Hard Security [HackNow] Discord Server!Discordchevron-right

hashtag
切割和恢复工具

更多工具请查看https://github.com/Claudio-C/awesome-datarecoveryarrow-up-right

hashtag
Autopsy

在取证中最常用的提取图像文件的工具是Autopsyarrow-up-right。下载、安装并让其摄取文件以查找“隐藏”文件。请注意,Autopsy旨在支持磁盘映像和其他类型的映像,而不是简单文件。

hashtag
Binwalk

Binwalk是用于分析二进制文件以查找嵌入内容的工具。可通过apt安装,其源代码位于GitHubarrow-up-right

有用的命令

hashtag
Foremost

另一个常用的查找隐藏文件的工具是foremost。您可以在/etc/foremost.conf中找到foremost的配置文件。如果您只想搜索一些特定文件,请取消注释。如果您不取消注释任何内容,foremost将搜索其默认配置的文件类型。

hashtag
Scalpel

Scalpel 是另一个工具,可用于查找和提取嵌入在文件中的文件。在这种情况下,您需要从配置文件(/etc/scalpel/scalpel.conf)中取消注释您希望提取的文件类型。

hashtag
Bulk Extractor

这个工具包含在kali中,但你也可以在这里找到它:https://github.com/simsong/bulk_extractorarrow-up-right

这个工具可以扫描一个镜像,并且会提取其中的pcaps网络信息(URLs、域名、IP地址、MAC地址、邮件)以及更多文件。你只需要执行以下操作:

hashtag
PhotoRec

您可以在https://www.cgsecurity.org/wiki/TestDisk_Downloadarrow-up-right找到它。

它带有 GUI 和 CLI 版本。您可以选择要让 PhotoRec 搜索的文件类型

hashtag
binvis

检查代码arrow-up-right网页工具arrow-up-right

hashtag
BinVis 的特点

  • 可视化和活跃的结构查看器

  • 不同焦点的多个绘图

  • 集中在样本的部分

  • 在 PE 或 ELF 可执行文件中查看字符串和资源

  • 从文件中获取用于密码分析的模式

  • 发现打包程序或编码器算法

  • 通过模式识别隐写术

  • 视觉二进制差异

BinVis 是在黑盒测试场景中熟悉未知目标的起点

hashtag
特定数据刻录工具

hashtag
FindAES

通过搜索其密钥计划来搜索 AES 密钥。能够找到用于 TrueCrypt 和 BitLocker 等的 128、192 和 256 位密钥。

此处arrow-up-right下载。

hashtag
附加工具

您可以使用viuarrow-up-right来在终端中查看图像。 您可以使用 Linux 命令行工具pdftotext将 pdf 转换为文本并阅读它。

上一页Partitions/File Systems/Carving下一页Pcap Inspection

最后更新于