hacktricks/forensics/basic-forensic-methodology/partitions-file-systems-carving/file-data-carving-tools.md

<details>

<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>

- Você trabalha em uma **empresa de segurança cibernética**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!

- Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)

- Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)

- **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**

- **Compartilhe suas técnicas de hacking enviando PRs para o [repositório hacktricks](https://github.com/carlospolop/hacktricks) e [hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud)**.

</details>


# Ferramentas de Carving

## Autopsy

A ferramenta mais comum usada em forense para extrair arquivos de imagens é o [**Autopsy**](https://www.autopsy.com/download/). Baixe-o, instale-o e faça com que ele ingira o arquivo para encontrar arquivos "ocultos". Note que o Autopsy é construído para suportar imagens de disco e outros tipos de imagens, mas não arquivos simples.

## Binwalk <a id="binwalk"></a>

**Binwalk** é uma ferramenta para procurar arquivos binários como imagens e arquivos de áudio para arquivos e dados incorporados.  
Ele pode ser instalado com `apt`, no entanto, a [fonte](https://github.com/ReFirmLabs/binwalk) pode ser encontrada no github.  
**Comandos úteis**:
```bash
sudo apt install binwalk #Insllation
binwalk file #Displays the embedded data in the given file
binwalk -e file #Displays and extracts some files from the given file
binwalk --dd ".*" file #Displays and extracts all files from the given file
```
## Foremost

Outra ferramenta comum para encontrar arquivos ocultos é o **foremost**. Você pode encontrar o arquivo de configuração do foremost em `/etc/foremost.conf`. Se você quiser procurar apenas por alguns arquivos específicos, descomente-os. Se você não descomentar nada, o foremost procurará pelos tipos de arquivo configurados por padrão.
```bash
sudo apt-get install foremost
foremost -v -i file.img -o output
#Discovered files will appear inside the folder "output"
```
## **Scalpel**

**Scalpel** é outra ferramenta que pode ser usada para encontrar e extrair **arquivos embutidos em um arquivo**. Neste caso, você precisará descomentar no arquivo de configuração (_/etc/scalpel/scalpel.conf_) os tipos de arquivos que deseja extrair.
```bash
sudo apt-get install scalpel
scalpel file.img -o output
```
## Bulk Extractor

Esta ferramenta vem incluída no kali, mas você também pode encontrá-la aqui: [https://github.com/simsong/bulk\_extractor](https://github.com/simsong/bulk_extractor)

Esta ferramenta pode escanear uma imagem e **extrair pcaps** dentro dela, **informações de rede \(URLs, domínios, IPs, MACs, e-mails\)** e mais **arquivos**. Você só precisa fazer:
```text
bulk_extractor memory.img -o out_folder
```
Navegue por **todas as informações** que a ferramenta coletou \(senhas?\), **analise** os **pacotes** \(leia [**Análise de Pcaps**](../pcap-inspection/)\), procure por **domínios estranhos** \(domínios relacionados a **malware** ou **inexistentes**\).

## PhotoRec

Você pode encontrá-lo em [https://www.cgsecurity.org/wiki/TestDisk\_Download](https://www.cgsecurity.org/wiki/TestDisk_Download)

Ele vem com uma versão GUI e CLI. Você pode selecionar os **tipos de arquivos** que deseja que o PhotoRec pesquise.

![](../../../.gitbook/assets/image%20%28524%29.png)

# Ferramentas Específicas de Carving de Dados

## FindAES

Procura por chaves AES pesquisando suas agendas de chaves. Capaz de encontrar chaves de 128, 192 e 256 bits, como as usadas pelo TrueCrypt e BitLocker.

Baixe [aqui](https://sourceforge.net/projects/findaes/).

# Ferramentas Complementares

Você pode usar o [**viu** ](https://github.com/atanunq/viu)para ver imagens no terminal.  
Você pode usar a ferramenta de linha de comando do linux **pdftotext** para transformar um pdf em texto e lê-lo.


<details>

<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>

- Você trabalha em uma **empresa de segurança cibernética**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!

- Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)

- Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)

- **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**

- **Compartilhe suas técnicas de hacking enviando PRs para o [repositório hacktricks](https://github.com/carlospolop/hacktricks) e [hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud)**.

</details>
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00			`<details>`

update twitter 2023-04-25 18:35:28 +00:00			`<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`- Você trabalha em uma empresa de segurança cibernética? Você quer ver sua empresa anunciada no HackTricks? ou você quer ter acesso à última versão do PEASS ou baixar o HackTricks em PDF? Confira os [PLANOS DE ASSINATURA](https://github.com/sponsors/carlospolop)!`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`- Descubra [A Família PEASS](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [NFTs](https://opensea.io/collection/the-peass-family)`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`- Adquira o [swag oficial do PEASS & HackTricks](https://peass.creator-spring.com)`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`- Junte-se ao [💬](https://emojipedia.org/speech-balloon/) [grupo do Discord](https://discord.gg/hRep4RUj7f) ou ao [grupo do telegram](https://t.me/peass) ou siga-me no Twitter [🐦](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[@carlospolopm](https://twitter.com/hacktricks_live).`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`- Compartilhe suas técnicas de hacking enviando PRs para o [repositório hacktricks](https://github.com/carlospolop/hacktricks) e [hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud).`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
			`</details>`


Translated to Portuguese 2023-06-06 18:56:34 +00:00			`# Ferramentas de Carving`
GitBook: [master] 5 pages modified 2021-01-05 13:06:39 +00:00
fix mess 2022-05-01 12:41:36 +00:00			`## Autopsy`
GitBook: [master] 5 pages modified 2021-01-05 13:06:39 +00:00
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`A ferramenta mais comum usada em forense para extrair arquivos de imagens é o [Autopsy](https://www.autopsy.com/download/). Baixe-o, instale-o e faça com que ele ingira o arquivo para encontrar arquivos "ocultos". Note que o Autopsy é construído para suportar imagens de disco e outros tipos de imagens, mas não arquivos simples.`
GitBook: [master] 5 pages modified 2021-01-05 13:06:39 +00:00
fix mess 2022-05-01 12:41:36 +00:00			`## Binwalk <a id="binwalk"></a>`
GitBook: [master] 5 pages modified 2021-01-05 13:06:39 +00:00
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`Binwalk é uma ferramenta para procurar arquivos binários como imagens e arquivos de áudio para arquivos e dados incorporados.`
			Ele pode ser instalado com `apt`, no entanto, a [fonte](https://github.com/ReFirmLabs/binwalk) pode ser encontrada no github.
			`Comandos úteis:`
GitBook: [master] 5 pages modified 2021-01-05 13:06:39 +00:00			```bash
			`sudo apt install binwalk #Insllation`
			`binwalk file #Displays the embedded data in the given file`
			`binwalk -e file #Displays and extracts some files from the given file`
			`binwalk --dd ".*" file #Displays and extracts all files from the given file`
			```
fix mess 2022-05-01 12:41:36 +00:00			`## Foremost`
GitBook: [master] 5 pages modified 2021-01-05 13:06:39 +00:00
Translated to Portuguese 2023-06-06 18:56:34 +00:00			Outra ferramenta comum para encontrar arquivos ocultos é o foremost. Você pode encontrar o arquivo de configuração do foremost em `/etc/foremost.conf`. Se você quiser procurar apenas por alguns arquivos específicos, descomente-os. Se você não descomentar nada, o foremost procurará pelos tipos de arquivo configurados por padrão.
GitBook: [master] 5 pages modified 2021-01-05 13:06:39 +00:00			```bash
			`sudo apt-get install foremost`
			`foremost -v -i file.img -o output`
			`#Discovered files will appear inside the folder "output"`
			```
fix mess 2022-05-01 12:41:36 +00:00			`## Scalpel`
GitBook: [master] 5 pages modified 2021-01-05 13:06:39 +00:00
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`Scalpel é outra ferramenta que pode ser usada para encontrar e extrair arquivos embutidos em um arquivo. Neste caso, você precisará descomentar no arquivo de configuração (_/etc/scalpel/scalpel.conf_) os tipos de arquivos que deseja extrair.`
GitBook: [master] 5 pages modified 2021-01-05 13:06:39 +00:00			```bash
			`sudo apt-get install scalpel`
			`scalpel file.img -o output`
			```
fix mess 2022-05-01 12:41:36 +00:00			`## Bulk Extractor`
GitBook: [master] 5 pages modified 2021-01-05 13:06:39 +00:00
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`Esta ferramenta vem incluída no kali, mas você também pode encontrá-la aqui: [https://github.com/simsong/bulk\_extractor](https://github.com/simsong/bulk_extractor)`
GitBook: [master] 5 pages modified 2021-01-05 13:06:39 +00:00
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`Esta ferramenta pode escanear uma imagem e extrair pcaps dentro dela, informações de rede \(URLs, domínios, IPs, MACs, e-mails\) e mais arquivos. Você só precisa fazer:`
GitBook: [master] 5 pages modified 2021-01-05 13:06:39 +00:00			```text
			`bulk_extractor memory.img -o out_folder`
			```
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`Navegue por todas as informações que a ferramenta coletou \(senhas?\), analise os pacotes \(leia [Análise de Pcaps](../pcap-inspection/)\), procure por domínios estranhos \(domínios relacionados a malware ou inexistentes\).`
GitBook: [master] 7 pages and 6 assets modified 2021-05-28 17:07:52 +00:00
fix mess 2022-05-01 12:41:36 +00:00			`## PhotoRec`
GitBook: [master] 7 pages and 6 assets modified 2021-05-28 17:07:52 +00:00
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`Você pode encontrá-lo em [https://www.cgsecurity.org/wiki/TestDisk\_Download](https://www.cgsecurity.org/wiki/TestDisk_Download)`
GitBook: [master] 7 pages and 6 assets modified 2021-05-28 17:07:52 +00:00
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`Ele vem com uma versão GUI e CLI. Você pode selecionar os tipos de arquivos que deseja que o PhotoRec pesquise.`
GitBook: [master] 7 pages and 6 assets modified 2021-05-28 17:07:52 +00:00
			`![](../../../.gitbook/assets/image%20%28524%29.png)`

Translated to Portuguese 2023-06-06 18:56:34 +00:00			`# Ferramentas Específicas de Carving de Dados`
GitBook: [master] 5 pages modified 2021-01-05 13:06:39 +00:00
fix mess 2022-05-01 12:41:36 +00:00			`## FindAES`
GitBook: [master] 5 pages modified 2021-01-05 13:06:39 +00:00
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`Procura por chaves AES pesquisando suas agendas de chaves. Capaz de encontrar chaves de 128, 192 e 256 bits, como as usadas pelo TrueCrypt e BitLocker.`
GitBook: [master] 5 pages modified 2021-01-05 13:06:39 +00:00
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`Baixe [aqui](https://sourceforge.net/projects/findaes/).`
GitBook: [master] 5 pages modified 2021-01-05 13:06:39 +00:00
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`# Ferramentas Complementares`
GitBook: [master] 5 pages modified 2021-01-05 13:06:39 +00:00
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`Você pode usar o [viu ](https://github.com/atanunq/viu)para ver imagens no terminal.`
			`Você pode usar a ferramenta de linha de comando do linux pdftotext para transformar um pdf em texto e lê-lo.`
GitBook: [master] 5 pages modified 2021-01-05 13:06:39 +00:00
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00

			`<details>`

update twitter 2023-04-25 18:35:28 +00:00			`<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`- Você trabalha em uma empresa de segurança cibernética? Você quer ver sua empresa anunciada no HackTricks? ou você quer ter acesso à última versão do PEASS ou baixar o HackTricks em PDF? Confira os [PLANOS DE ASSINATURA](https://github.com/sponsors/carlospolop)!`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`- Descubra [A Família PEASS](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [NFTs](https://opensea.io/collection/the-peass-family)`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`- Adquira o [swag oficial do PEASS & HackTricks](https://peass.creator-spring.com)`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`- Junte-se ao [💬](https://emojipedia.org/speech-balloon/) [grupo do Discord](https://discord.gg/hRep4RUj7f) ou ao [grupo do telegram](https://t.me/peass) ou siga-me no Twitter [🐦](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[@carlospolopm](https://twitter.com/hacktricks_live).`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`- Compartilhe suas técnicas de hacking enviando PRs para o [repositório hacktricks](https://github.com/carlospolop/hacktricks) e [hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud).`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
			`</details>`