カービングツール

Autopsy

フォレンジックで画像からファイルを抽出するために最も一般的に使用されるツールはAutopsyです。ダウンロードしてインストールし、ファイルを取り込んで「隠れた」ファイルを見つけてください。Autopsyはディスクイメージやその他の種類のイメージをサポートするように構築されていますが、単純なファイルには対応していません。

Binwalk

Binwalkは、画像や音声ファイルのようなバイナリファイル内の埋め込まれたファイルやデータを検索するためのツールです。aptでインストールできますが、ソースはgithubで見つけることができます。 便利なコマンド:

sudo apt install binwalk #Insllation
binwalk file #Displays the embedded data in the given file
binwalk -e file #Displays and extracts some files from the given file
binwalk --dd ".*" file #Displays and extracts all files from the given file

Foremost

もう一つの一般的なツールは foremost です。foremost の設定ファイルは /etc/foremost.conf にあります。特定のファイルを検索したい場合は、それらのコメントを外してください。何もコメントを外さない場合、foremost はデフォルトで設定されたファイルタイプを検索します。

sudo apt-get install foremost
foremost -v -i file.img -o output
#Discovered files will appear inside the folder "output"

スカルペル

スカルペルは、ファイルに埋め込まれたファイルを見つけて抽出するために使用できる別のツールです。この場合、抽出したいファイルタイプを設定ファイル _/etc/scalpel/scalpel.conf_ からコメント解除する必要があります。

sudo apt-get install scalpel
scalpel file.img -o output

Bulk Extractor

このツールはKaliに含まれていますが、ここでも見つけることができます: https://github.com/simsong/bulk_extractor

このツールはイメージをスキャンし、その中にあるpcapsを抽出し、ネットワーク情報（URL、ドメイン、IP、MAC、メール）やその他のファイルを取得します。あなたがする必要があるのは:

bulk_extractor memory.img -o out_folder

すべての情報をナビゲートします（パスワード？）、パケットを分析します（読み取り Pcaps analysis）、奇妙なドメインを検索します（マルウェアや存在しないドメインに関連する）。

PhotoRec

https://www.cgsecurity.org/wiki/TestDisk_Download で見つけることができます。

GUIとCLIバージョンが付属しています。PhotoRecが検索するファイルタイプを選択できます。

特定のデータカービングツール

FindAES

AESキーのスケジュールを検索することでAESキーを検索します。TrueCryptやBitLockerで使用される128、192、256ビットのキーを見つけることができます。

こちらからダウンロード。

補完ツール

viuを使用してターミナルから画像を見ることができます。 Linuxコマンドラインツールpdftotextを使用してPDFをテキストに変換し、読むことができます。

3.8 KiB Raw Blame History Unescape Escape