maride/hacktricks
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks.git synced 2025-10-10 18:36:50 +00:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/generic-methodologies-and-resources/basic-forensic-meth

Browse Source
This commit is contained in:
Translator 2025-08-04 12:14:28 +00:00
parent e3dc2d3697
commit 8a3086f430
1 changed files with 75 additions and 22 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

97
src/generic-methodologies-and-resources/basic-forensic-methodology/partitions-file-systems-carving/file-data-carving-recovery-tools.md
View File

@ -8,26 +8,35 @@ More tools in [https://github.com/Claudio-C/awesome-datarecovery](https://github
### Autopsy ### Autopsy
Το πιο κοινό εργαλείο που χρησιμοποιείται στην ψηφιακή εγκληματολογία για την εξαγωγή αρχείων από εικόνες είναι το [**Autopsy**](https://www.autopsy.com/download/). Κατεβάστε το, εγκαταστήστε το και κάντε το να επεξεργαστεί το αρχείο για να βρείτε "κρυφά" αρχεία. Σημειώστε ότι το Autopsy έχει σχεδιαστεί για να υποστηρίζει δισκοειδείς εικόνες και άλλους τύπους εικόνων, αλλά όχι απλά αρχεία. Το πιο κοινό εργαλείο που χρησιμοποιείται στην ψηφιακή εγκληματολογία για την εξαγωγή αρχείων από εικόνες είναι το [**Autopsy**](https://www.autopsy.com/download/). Κατεβάστε το, εγκαταστήστε το και κάντε το να επεξεργαστεί το αρχείο για να βρείτε "κρυφά" αρχεία. Σημειώστε ότι το Autopsy έχει σχεδιαστεί για να υποστηρίζει δισκοεικόνες και άλλους τύπους εικόνων, αλλά όχι απλά αρχεία.
> **2024-2025 ενημέρωση** Η έκδοση **4.21** (που κυκλοφόρησε τον Φεβρουάριο του 2025) πρόσθεσε ένα ανασχεδιασμένο **module carving βασισμένο στο SleuthKit v4.13** που είναι αισθητά ταχύτερο όταν ασχολείται με εικόνες πολλών terabyte και υποστηρίζει παράλληλη εξαγωγή σε συστήματα πολλαπλών πυρήνων.¹ Ένας μικρός CLI wrapper (`autopsycli ingest <case> <image>`) εισήχθη επίσης, καθιστώντας δυνατή την αυτοματοποίηση του carving μέσα σε CI/CD ή μεγάλης κλίμακας εργαστηριακά περιβάλλοντα.
```bash
# Create a case and ingest an evidence image from the CLI (Autopsy ≥4.21)
autopsycli case --create MyCase --base /cases
# ingest with the default ingest profile (includes data-carve module)
autopsycli ingest MyCase /evidence/disk01.E01 --threads 8
```
### Binwalk <a href="#binwalk" id="binwalk"></a> ### Binwalk <a href="#binwalk" id="binwalk"></a>
**Binwalk** είναι ένα εργαλείο για την ανάλυση δυαδικών αρχείων για να βρει ενσωματωμένο περιεχόμενο. Είναι εγκαταστάσιμο μέσω `apt` και η πηγή του είναι στο [GitHub](https://github.com/ReFirmLabs/binwalk). **Binwalk** είναι ένα εργαλείο για την ανάλυση δυαδικών αρχείων για να βρει ενσωματωμένο περιεχόμενο. Είναι εγκαταστάσιμο μέσω του `apt` και η πηγή του είναι στο [GitHub](https://github.com/ReFirmLabs/binwalk).
**Useful commands**: **Χρήσιμες εντολές**:
```bash ```bash
sudo apt install binwalk #Insllation sudo apt install binwalk # Installation
binwalk file #Displays the embedded data in the given file binwalk firmware.bin # Display embedded data
binwalk -e file #Displays and extracts some files from the given file binwalk -e firmware.bin # Extract recognised objects (safe-default)
binwalk --dd ".*" file #Displays and extracts all files from the given file binwalk --dd " .* " firmware.bin # Extract *everything* (use with care)
``` ```
⚠️ **Σημείωση ασφαλείας** Οι εκδόσεις **≤2.3.3** επηρεάζονται από μια ευπάθεια **Path Traversal** (CVE-2022-4510). Αναβαθμίστε (ή απομονώστε με ένα κοντέινερ/μη προνομιούχο UID) πριν από την εκτέλεση carving σε μη αξιόπιστα δείγματα.
### Foremost ### Foremost
Ένα άλλο κοινό εργαλείο για να βρείτε κρυφά αρχεία είναι το **foremost**. Μπορείτε να βρείτε το αρχείο ρύθμισης του foremost στο `/etc/foremost.conf`. Αν θέλετε να αναζητήσετε συγκεκριμένα αρχεία, αποσχολιάστε τα. Αν δεν αποσχολιάσετε τίποτα, το foremost θα αναζητήσει τους προεπιλεγμένους τύπους αρχείων που είναι ρυθμισμένοι. Ένα άλλο κοινό εργαλείο για να βρείτε κρυφά αρχεία είναι το **foremost**. Μπορείτε να βρείτε το αρχείο ρύθμισης παραμέτρων του foremost στο `/etc/foremost.conf`. Αν θέλετε να αναζητήσετε συγκεκριμένα αρχεία, αποσχολιάστε τα. Αν δεν αποσχολιάσετε τίποτα, το foremost θα αναζητήσει τους προεπιλεγμένους τύπους αρχείων που είναι ρυθμισμένοι.
```bash ```bash
sudo apt-get install foremost sudo apt-get install foremost
foremost -v -i file.img -o output foremost -v -i file.img -o output
#Discovered files will appear inside the folder "output" # Discovered files will appear inside the folder "output"
``` ```
### **Scalpel** ### **Scalpel**
@ -36,27 +45,59 @@ foremost -v -i file.img -o output
sudo apt-get install scalpel sudo apt-get install scalpel
scalpel file.img -o output scalpel file.img -o output
``` ```
### Bulk Extractor ### Bulk Extractor 2.x
Αυτό το εργαλείο έρχεται μέσα στο kali αλλά μπορείτε να το βρείτε εδώ: [https://github.com/simsong/bulk_extractor](https://github.com/simsong/bulk_extractor) Αυτό το εργαλείο έρχεται μέσα στο kali αλλά μπορείτε να το βρείτε εδώ: <https://github.com/simsong/bulk_extractor>
Αυτό το εργαλείο μπορεί να σαρώσει μια εικόνα και θα **εξάγει pcaps** μέσα σε αυτή, **πληροφορίες δικτύου (URLs, domains, IPs, MACs, mails)** και περισσότερα **αρχεία**. Πρέπει απλώς να κάνετε: Το Bulk Extractor μπορεί να σαρώσει μια εικόνα αποδεικτικού στοιχείου και να ανακτήσει **pcap fragments**, **δικτυακά αντικείμενα (URLs, domains, IPs, MACs, e-mails)** και πολλά άλλα αντικείμενα **παράλληλα χρησιμοποιώντας πολλαπλούς σαρωτές**.
```bash
# Build from source v2.1.1 (April 2024) requires cmake ≥3.16
git clone https://github.com/simsong/bulk_extractor.git && cd bulk_extractor
mkdir build && cd build && cmake .. && make -j$(nproc) && sudo make install
# Run every scanner, carve JPEGs aggressively and generate a bodyfile
bulk_extractor -o out_folder -S jpeg_carve_mode=2 -S write_bodyfile=y /evidence/disk.img
``` ```
bulk_extractor memory.img -o out_folder Χρήσιμα σενάρια μετα-επεξεργασίας (`bulk_diff`, `bulk_extractor_reader.py`) μπορούν να αφαιρέσουν διπλότυπα αντικείμενα μεταξύ δύο εικόνων ή να μετατρέψουν τα αποτελέσματα σε JSON για εισαγωγή σε SIEM.
```
Πλοηγηθείτε μέσα από **όλες τις πληροφορίες** που έχει συγκεντρώσει το εργαλείο (κωδικοί πρόσβασης;), **αναλύστε** τα **πακέτα** (διαβάστε [ **Ανάλυση Pcaps**](../pcap-inspection/index.html)), αναζητήστε **παράξενους τομείς** (τομείς σχετικούς με **malware** ή **μη υπάρχοντες**).
### PhotoRec ### PhotoRec
Μπορείτε να το βρείτε στο [https://www.cgsecurity.org/wiki/TestDisk_Download](https://www.cgsecurity.org/wiki/TestDisk_Download) Μπορείτε να το βρείτε στο <https://www.cgsecurity.org/wiki/TestDisk_Download>
Έρχεται με εκδόσεις GUI και CLI. Μπορείτε να επιλέξετε τους **τύπους αρχείων** που θέλετε να αναζητήσει το PhotoRec. Έρχεται με εκδόσεις GUI και CLI. Μπορείτε να επιλέξετε τους **τύπους αρχείων** που θέλετε να αναζητήσει το PhotoRec.
![](<../../../images/image (242).png>) ![](<../../../images/image (242).png>)
### ddrescue + ddrescueview (εικόνα αποτυχημένων δίσκων)
Όταν ένας φυσικός δίσκος είναι ασταθής, είναι καλύτερη πρακτική να **δημιουργήσετε πρώτα μια εικόνα** και να εκτελέσετε εργαλεία carving μόνο κατά της εικόνας. `ddrescue` (GNU project) επικεντρώνεται στην αξιόπιστη αντιγραφή κακών δίσκων ενώ διατηρεί ένα αρχείο καταγραφής των μη αναγνώσιμων τομέων.
```bash
sudo apt install gddrescue ddrescueview # On Debian-based systems
# First pass try to get as much data as possible without retries
sudo ddrescue -f -n /dev/sdX suspect.img suspect.log
# Second pass aggressive, 3 retries on the remaining bad areas
sudo ddrescue -d -r3 /dev/sdX suspect.img suspect.log
# Visualise the status map (green=good, red=bad)
ddrescueview suspect.log
```
Version **1.28** (Δεκέμβριος 2024) εισήγαγε **`--cluster-size`** που μπορεί να επιταχύνει την απεικόνιση υψηλής χωρητικότητας SSD όπου οι παραδοσιακές διαστάσεις τομέα δεν ευθυγραμμίζονται πλέον με τα μπλοκ flash.
### Extundelete / Ext4magic (EXT 3/4 undelete)
Εάν το σύστημα αρχείων προέλευσης είναι βασισμένο σε Linux EXT, μπορεί να είστε σε θέση να ανακτήσετε πρόσφατα διαγραμμένα αρχεία **χωρίς πλήρη carving**. Και τα δύο εργαλεία λειτουργούν απευθείας σε μια εικόνα μόνο για ανάγνωση:
```bash
# Attempt journal-based undelete (metadata must still be present)
extundelete disk.img --restore-all
# Fallback to full directory scan; supports extents and inline data
ext4magic disk.img -M -f '*.jpg' -d ./recovered
```
> 🛈 Αν το σύστημα αρχείων είχε προσαρτηθεί μετά τη διαγραφή, οι μπλοκ δεδομένων μπορεί να έχουν ήδη επαναχρησιμοποιηθεί σε αυτή την περίπτωση απαιτείται σωστό carving (Foremost/Scalpel).
### binvis ### binvis
Ελέγξτε τον [κώδικα](https://code.google.com/archive/p/binvis/) και την [ιστοσελίδα εργαλείου](https://binvis.io/#/). Ελέγξτε τον [κώδικα](https://code.google.com/archive/p/binvis/) και το [εργαλείο ιστοσελίδας](https://binvis.io/#/).
#### Χαρακτηριστικά του BinVis #### Χαρακτηριστικά του BinVis
@ -65,23 +106,35 @@ bulk_extractor memory.img -o out_folder
- Εστίαση σε τμήματα ενός δείγματος - Εστίαση σε τμήματα ενός δείγματος
- **Βλέποντας αλυσίδες και πόρους**, σε εκτελέσιμα PE ή ELF π.χ. - **Βλέποντας αλυσίδες και πόρους**, σε εκτελέσιμα PE ή ELF π.χ.
- Λήψη **μοτίβων** για κρυπτοανάλυση σε αρχεία - Λήψη **μοτίβων** για κρυπτοανάλυση σε αρχεία
- **Εντοπισμός** αλγορίθμων συμπίεσης ή κωδικοποίησης - **Εντοπισμός** αλγορίθμων packer ή encoder
- **Αναγνώριση** Στεγανότητας μέσω μοτίβων - **Αναγνώριση** Στεγανότητας μέσω μοτίβων
- **Οπτική** διαφορά δυαδικών αρχείων - **Οπτική** διαφορά δυαδικών
Το BinVis είναι ένα εξαιρετικό **σημείο εκκίνησης για να εξοικειωθείτε με έναν άγνωστο στόχο** σε ένα σενάριο black-boxing. Το BinVis είναι ένα εξαιρετικό **σημείο εκκίνησης για να εξοικειωθείτε με έναν άγνωστο στόχο** σε ένα σενάριο black-boxing.
## Ειδικά Εργαλεία Κατασκευής Δεδομένων ## Ειδικά Εργαλεία Carving Δεδομένων
### FindAES ### FindAES
Αναζητά κλειδιά AES αναζητώντας τα χρονοδιαγράμματα κλειδιών τους. Ικανό να βρει κλειδιά 128, 192 και 256 bit, όπως αυτά που χρησιμοποιούνται από το TrueCrypt και το BitLocker. Αναζητά κλειδιά AES ψάχνοντας για τα χρονοδιαγράμματα κλειδιών τους. Ικανό να βρει κλειδιά 128, 192 και 256 bit, όπως αυτά που χρησιμοποιούνται από το TrueCrypt και το BitLocker.
Κατεβάστε [εδώ](https://sourceforge.net/projects/findaes/). Κατεβάστε [εδώ](https://sourceforge.net/projects/findaes/).
### YARA-X (ταξινόμηση carved artefacts)
[YARA-X](https://github.com/VirusTotal/yara-x) είναι μια επαναγραφή του YARA σε Rust που κυκλοφόρησε το 2024. Είναι **10-30× ταχύτερο** από το κλασικό YARA και μπορεί να χρησιμοποιηθεί για την ταξινόμηση χιλιάδων carved αντικειμένων πολύ γρήγορα:
```bash
# Scan every carved object produced by bulk_extractor
yarax -r rules/index.yar out_folder/ --threads 8 --print-meta
```
Η επιτάχυνση καθιστά ρεαλιστικό το **auto-tag** όλων των carved αρχείων σε μεγάλες έρευνες.
## Συμπληρωματικά εργαλεία ## Συμπληρωματικά εργαλεία
Μπορείτε να χρησιμοποιήσετε το [**viu** ](https://github.com/atanunq/viu) για να δείτε εικόνες από το τερματικό.\ Μπορείτε να χρησιμοποιήσετε [**viu** ](https://github.com/atanunq/viu) για να δείτε εικόνες από το τερματικό. \
Μπορείτε να χρησιμοποιήσετε το εργαλείο γραμμής εντολών linux **pdftotext** για να μετατρέψετε ένα pdf σε κείμενο και να το διαβάσετε. Μπορείτε να χρησιμοποιήσετε το εργαλείο γραμμής εντολών linux **pdftotext** για να μετατρέψετε ένα pdf σε κείμενο και να το διαβάσετε.
## Αναφορές
1. Autopsy 4.21 release notes <https://github.com/sleuthkit/autopsy/releases/tag/autopsy-4.21>
{{#include ../../../banners/hacktricks-training.md}} {{#include ../../../banners/hacktricks-training.md}}