From 458238e7f98e29233ee276c52cfe1a0568146512 Mon Sep 17 00:00:00 2001 From: Translator Date: Mon, 4 Aug 2025 12:14:10 +0000 Subject: [PATCH] Translated ['src/generic-methodologies-and-resources/basic-forensic-meth --- .../file-data-carving-recovery-tools.md | 99 ++++++++++++++----- 1 file changed, 76 insertions(+), 23 deletions(-) diff --git a/src/generic-methodologies-and-resources/basic-forensic-methodology/partitions-file-systems-carving/file-data-carving-recovery-tools.md b/src/generic-methodologies-and-resources/basic-forensic-methodology/partitions-file-systems-carving/file-data-carving-recovery-tools.md index 6727075fb..e8b61c508 100644 --- a/src/generic-methodologies-and-resources/basic-forensic-methodology/partitions-file-systems-carving/file-data-carving-recovery-tools.md +++ b/src/generic-methodologies-and-resources/basic-forensic-methodology/partitions-file-systems-carving/file-data-carving-recovery-tools.md @@ -8,70 +8,111 @@ Više alata na [https://github.com/Claudio-C/awesome-datarecovery](https://githu ### Autopsy -Najčešći alat korišćen u forenzici za ekstrakciju fajlova iz slika je [**Autopsy**](https://www.autopsy.com/download/). Preuzmite ga, instalirajte i omogućite mu da obradi fajl kako bi pronašao "sakrivene" fajlove. Imajte na umu da je Autopsy napravljen da podržava disk slike i druge vrste slika, ali ne i obične fajlove. +Najčešći alat korišćen u forenzici za ekstrakciju fajlova iz slika je [**Autopsy**](https://www.autopsy.com/download/). Preuzmite ga, instalirajte i omogućite mu da unese fajl kako bi pronašao "sakrivene" fajlove. Imajte na umu da je Autopsy napravljen da podržava disk slike i druge vrste slika, ali ne i obične fajlove. +> **2024-2025 ažuriranje** – Verzija **4.21** (objavljena februara 2025) dodala je obnovljeni **carving modul zasnovan na SleuthKit v4.13** koji je primetno brži kada se radi sa multi-terabajt slikama i podržava paralelnu ekstrakciju na multi-core sistemima.¹ Takođe je uveden mali CLI omotač (`autopsycli ingest `), što omogućava skriptovanje carving-a unutar CI/CD ili velikih laboratorijskih okruženja. +```bash +# Create a case and ingest an evidence image from the CLI (Autopsy ≥4.21) +autopsycli case --create MyCase --base /cases +# ingest with the default ingest profile (includes data-carve module) +autopsycli ingest MyCase /evidence/disk01.E01 --threads 8 +``` ### Binwalk **Binwalk** je alat za analizu binarnih fajlova radi pronalaženja ugrađenog sadržaja. Može se instalirati putem `apt`, a njegov izvor je na [GitHub](https://github.com/ReFirmLabs/binwalk). **Korisne komande**: ```bash -sudo apt install binwalk #Insllation -binwalk file #Displays the embedded data in the given file -binwalk -e file #Displays and extracts some files from the given file -binwalk --dd ".*" file #Displays and extracts all files from the given file +sudo apt install binwalk # Installation +binwalk firmware.bin # Display embedded data +binwalk -e firmware.bin # Extract recognised objects (safe-default) +binwalk --dd " .* " firmware.bin # Extract *everything* (use with care) ``` +⚠️ **Napomena o bezbednosti** – Verzije **≤2.3.3** su pogođene **Path Traversal** ranjivošću (CVE-2022-4510). Ažurirajte (ili izolujte sa kontejnerom/neprivilegovanom UID) pre nego što izrezujete nepouzdane uzorke. + ### Foremost -Još jedan uobičajen alat za pronalaženje skrivenih fajlova je **foremost**. Možete pronaći konfiguracioni fajl foremost-a u `/etc/foremost.conf`. Ako želite da pretražujete samo neke specifične fajlove, otkomentarišite ih. Ako ne otkomentarišete ništa, foremost će pretraživati svoje podrazumevane konfiguracione tipove fajlova. +Još jedan uobičajen alat za pronalaženje skrivenih fajlova je **foremost**. Možete pronaći konfiguracioni fajl foremost u `/etc/foremost.conf`. Ako želite da pretražujete neke specifične fajlove, otkomentarišite ih. Ako ne otkomentarišete ništa, foremost će pretraživati svoje podrazumevane konfiguracione tipove fajlova. ```bash sudo apt-get install foremost foremost -v -i file.img -o output -#Discovered files will appear inside the folder "output" +# Discovered files will appear inside the folder "output" ``` ### **Scalpel** -**Scalpel** je još jedan alat koji se može koristiti za pronalaženje i vađenje **datoteka ugrađenih u datoteku**. U ovom slučaju, potrebno je da otkomentarišete tipove datoteka iz konfiguracione datoteke (_/etc/scalpel/scalpel.conf_) koje želite da izvučete. +**Scalpel** je još jedan alat koji se može koristiti za pronalaženje i ekstrakciju **datoteka ugrađenih u datoteku**. U ovom slučaju, potrebno je da odkomentarišete tipove datoteka iz konfiguracione datoteke (_/etc/scalpel/scalpel.conf_) koje želite da ekstraktujete. ```bash sudo apt-get install scalpel scalpel file.img -o output ``` -### Bulk Extractor +### Bulk Extractor 2.x -Ovaj alat dolazi unutar kali, ali ga možete pronaći ovde: [https://github.com/simsong/bulk_extractor](https://github.com/simsong/bulk_extractor) +Ovaj alat dolazi unutar kali, ali ga možete pronaći ovde: -Ovaj alat može skenirati sliku i **izvući pcaps** unutar nje, **mrežne informacije (URL-ovi, domene, IP adrese, MAC adrese, e-mailovi)** i još **datoteka**. Samo treba da uradite: +Bulk Extractor može skenirati sliku dokaza i izrezati **pcap fragmente**, **mrežne artefakte (URL-ove, domene, IP adrese, MAC adrese, e-poštu)** i mnoge druge objekte **paralelno koristeći više skenera**. +```bash +# Build from source – v2.1.1 (April 2024) requires cmake ≥3.16 +git clone https://github.com/simsong/bulk_extractor.git && cd bulk_extractor +mkdir build && cd build && cmake .. && make -j$(nproc) && sudo make install + +# Run every scanner, carve JPEGs aggressively and generate a bodyfile +bulk_extractor -o out_folder -S jpeg_carve_mode=2 -S write_bodyfile=y /evidence/disk.img ``` -bulk_extractor memory.img -o out_folder -``` -Navigirajte kroz **sve informacije** koje je alat prikupio (lozinke?), **analizirajte** **pakete** (pročitajte [**Pcaps analiza**](../pcap-inspection/index.html)), pretražujte **čudne domene** (domene povezane sa **malverom** ili **nepostojećim**). +Korisni skripti za post-procesiranje (`bulk_diff`, `bulk_extractor_reader.py`) mogu da de-dupliraju artefakte između dve slike ili konvertuju rezultate u JSON za SIEM unos. ### PhotoRec -Možete ga pronaći na [https://www.cgsecurity.org/wiki/TestDisk_Download](https://www.cgsecurity.org/wiki/TestDisk_Download) +Možete ga pronaći na Dolazi sa GUI i CLI verzijama. Možete odabrati **tipove fajlova** koje želite da PhotoRec pretražuje. ![](<../../../images/image (242).png>) +### ddrescue + ddrescueview (imaging neispravnih diskova) + +Kada je fizički disk nestabilan, najbolje je prvo **napraviti sliku** i samo pokretati alate za carving protiv slike. `ddrescue` (GNU projekat) se fokusira na pouzdano kopiranje loših diskova dok vodi evidenciju o nečitljivim sektorima. +```bash +sudo apt install gddrescue ddrescueview # On Debian-based systems +# First pass – try to get as much data as possible without retries +sudo ddrescue -f -n /dev/sdX suspect.img suspect.log +# Second pass – aggressive, 3 retries on the remaining bad areas +sudo ddrescue -d -r3 /dev/sdX suspect.img suspect.log + +# Visualise the status map (green=good, red=bad) +ddrescueview suspect.log +``` +Version **1.28** (decembar 2024) je uveo **`--cluster-size`** koji može ubrzati imidžiranje SSD-ova velike kapaciteta gde tradicionalne veličine sektora više ne odgovaraju flash blokovima. + +### Extundelete / Ext4magic (EXT 3/4 undelete) + +Ako je izvorni fajl sistem zasnovan na Linux EXT, možda ćete moći da povratite nedavno obrisane fajlove **bez potpunog karvinga**. Obe alatke rade direktno na imidžu samo za čitanje: +```bash +# Attempt journal-based undelete (metadata must still be present) +extundelete disk.img --restore-all + +# Fallback to full directory scan; supports extents and inline data +ext4magic disk.img -M -f '*.jpg' -d ./recovered +``` +> 🛈 Ako je fajl sistem montiran nakon brisanja, podaci mogu već biti ponovo korišćeni – u tom slučaju je još uvek potrebna pravilna karving (Foremost/Scalpel). + ### binvis -Proverite [kod](https://code.google.com/archive/p/binvis/) i [web stranicu alata](https://binvis.io/#/). +Proverite [kod](https://code.google.com/archive/p/binvis/) i [web alat](https://binvis.io/#/). #### Karakteristike BinVis - Vizuelni i aktivni **pregledač strukture** -- Više grafova za različite tačke fokusa +- Više grafika za različite tačke fokusa - Fokusiranje na delove uzorka -- **Videti stringove i resurse**, u PE ili ELF izvršnim datotekama npr. +- **Prikazivanje stringova i resursa**, u PE ili ELF izvršnim datotekama npr. - Dobijanje **šablona** za kriptoanalizu na fajlovima -- **Uočavanje** pakera ili enkoder algoritama +- **Prepoznavanje** pakera ili enkodera - **Identifikacija** steganografije po šablonima - **Vizuelno** binarno poređenje BinVis je odlična **polazna tačka za upoznavanje sa nepoznatim ciljem** u scenariju crne kutije. -## Specifični alati za vađenje podataka +## Specifični alati za karving podataka ### FindAES @@ -79,9 +120,21 @@ Pretražuje AES ključeve tražeći njihove rasporede ključeva. Sposoban je da Preuzmite [ovde](https://sourceforge.net/projects/findaes/). -## Komplementarni alati +### YARA-X (triaging carved artefacts) -Možete koristiti [**viu**](https://github.com/atanunq/viu) da vidite slike iz terminala.\ -Možete koristiti linux komandnu liniju alat **pdftotext** da transformišete pdf u tekst i pročitate ga. +[YARA-X](https://github.com/VirusTotal/yara-x) je Rust prepis YARA objavljen 2024. godine. **10-30× brži** je od klasične YARA i može se koristiti za klasifikaciju hiljada izrezanih objekata vrlo brzo: +```bash +# Scan every carved object produced by bulk_extractor +yarax -r rules/index.yar out_folder/ --threads 8 --print-meta +``` +Ubrzanje čini realnim **auto-tag** svih izrezanih fajlova u velikim istragama. +## Dodatni alati + +Možete koristiti [**viu** ](https://github.com/atanunq/viu) da vidite slike iz terminala. \ +Možete koristiti linux alat komandne linije **pdftotext** da transformišete pdf u tekst i pročitate ga. + +## Reference + +1. Autopsy 4.21 beleške o izdanju – {{#include ../../../banners/hacktricks-training.md}}