数据取证常用三大软件

文件恢复、数据提取的相关技术及应用、熟练掌握三款相关开源工具foremost、scalpel、bulk_exetractor的使用。

关于foremost Foremost是基于文件开始格式，文件结束标志和内部数据结构进行恢复文件的程序 Foremost参数说明 $ foremost [-v|-V|-h|-T|-Q|-q|-a|-w-d] [-t ] [-s ] [-k ] [-b ] [-c ] [-o ] [-i <file]

-V - 显示版权信息并退出 -t - 指定文件类型. (-t jpeg,pdf …) -d -打开间接块检测 (针对UNIX文件系统) -i - 指定输入文件 (默认为标准输入) -a - 写入所有的文件头部, 不执行错误检测(损坏文件) -w - 向磁盘写入审计文件，不写入任何检测到的文件 -o - 设置输出目录 (默认为为输出) -c - 设置配置文件 (默认为 foremost.conf) -q - 启用快速模式. 在512字节边界执行搜索. -Q - 启用安静模式. 禁用输出消息. -v - 详细模式. 向屏幕上记录所有消息

Scalpel 对那些没有日志机制的旧有文件系统，scalpel 工具是一个很好的选择。scalpel 是快速文件恢复工具，通过读取文件系统的数据库来恢复文件。它是独立于文件系统的。Bulk_exetractor 一个计算机取证工具，可以扫描磁盘映像、文件、文件目录，并在不解析文件系统或文件系统结构的情况下提取有用的信息，由于其忽略了文件系统结构，程序在速度和深入程度上都有了很大的提高

即使文件扩展名改变了或者被删去了，文件头部包含的信息可以识别出文件类型，并且通过文件头部和尾部的信息(文件开始格式,文件结束标志和内部数据结构进行恢复文件)可以尝试刻画出完整的文，。数据提取是一个漫长的过程，建议使用自动化的工具来进行以节省时间。 一些常见的文件类型，当用16进制的编辑器打开时在文件头部打开时会包含如下信息： 本次实验专注于文件以及头部信息的分析与利用，通过上面提到的三个工具我们来进行本次的实验。

Foremost的使用 本次使用的镜像来来自于互联网上开源的文件，可从此处下载 http://dftt.sourceforge.net/test11/index.html Foremost是一款简单有效的命令行工具，通过分析文件头部和尾部的信息来恢复文件。我们通过kali左上角的application11-Forensics-》foremost启动 启动之后打开了一个终端 关于程序的版本信息、开发人员以及一些使用选项都被呈现出来 为了更好理解foremost和选项的使用，可以查阅foremost的系统管理员手册，输入man foremost即可 在这个例子中我们主要用到的是两个选项，-i用于指定输入的文件，即我们前面下载的文件11-carve-fat.dd，-o用于指定一个空的文件夹，我们将其命名为foremost-recovery。通过foremost进行分析只需输入如下的命令就可以了 尽管在处理过程中有些字符是乱码，但是结果已经在我们指定的输出的文件夹中被清楚的总结归类好了，我们打开foremost_recovey输出文件夹查看 我们从上图可以看到被提取出来的文件，按照文件类型分门别类，同时还有个audit.txt，里面包含了分析过程中的详细信息，列出了foremost找到的所有文件件以及他们的文件偏移、大小规模等

在audit.txt的最后，可以看到提取出的文件的总结 可以看到有三个jpg的文件，这是我们我们可以去jpg子文件夹中查看 我们看到foremost是一个的强大的数据回复和文件提取的工具，文件提取所花的时间取决于源文件的规模，如果已经知道了所需提取文件的大小，可以使用使用-t来指定，然后进行提取，这样速度会更快 比如我们指定只提取jpg 可以看到速度更快 不过生成的文件夹中也只要jpg一个子文件夹，同样有三张图片

Scalpel Scalpel作为早期的foremost的升级版被开发出来，主要是针对解决foremost提取文件时高CPU占用率和ROM使用率的问题而开发 和Foremost不一样，所需提取的文件类型需要在scalpel的配置文件中设置 配置文件的路径 使用nano打开并修改 这是默认的 在上图中我们可以看到所有类型的前面都被#注释了，如果我们需要使用scalpel提取某种类型的文件，将它前面的#删去就可以了 我们来删去一些，请按照下图操作 这样的话，如果待提取文件中有gif,jpg,png,bmp则会被提取出来 保存并退出，接下来启动scalpel 在下图中输入即可 点击图标启动 启动后会显示使用的语法、其他选项以及关于工具的其他信息 为了便于对比，我们同样使用前面foremost实验的那个文件 使用-o指定输出文件夹为scalpeloutput，后面跟着输入文件 从上图中可以看到提取出6个文件，其中gif1个，jpg5个 我们打开输出的文件夹 在jpg文件夹中虽然有5个，但是只有3个确实是jpg文件 这可能是因为这两个文件恰好符合jpg文件的特征，但是本身可能是无意义的数据块，从而被scalpel错误地提取出来了 提取的特征在前面那张截图中可以看到，jpg的特征是这样子的 同样在audit.txt中可以看到详细的处理信息

Bulk_extractor 在前面的实验中我们可以看到，foremost和scalpel是比较有效的文件恢复和提取的工具，但是仅限于几种特定的类型，为了进一步的提取数据，我们可以使用Bulk_exetractor 除了foremost、scalpel能提取的恢复、提取的数据外，Bulk_exetractor还可以提取的数据包括：信用卡号码、邮箱地址、url、网页信息等 这次使用到的文件也是互联网上公开的，可以从这儿下载 http://downloads.digitalcorpora.org/corpora/scenarios/2009-m57-patents/drives-redacted/ 在使用Bulk之前，我们可以-h查看帮助说明 这次使用我们从terry-work-usb-2009-12-11.E01中提取信息并将输出保存至bulk_output文件夹 输入如下命令即可 在分析工作结束后，bulk会显示所有线程都完成了，并且给出分析过程及提取出的信息的总结。 图中还能看到md5 hash、总共处理的MB，甚至还有3个邮件特征 我们累出输出文件夹中的内容 需要注意的是，不是所有列出来的文件都包含数据。只有在月份左边的那些数字大于0的文件才包含数据 在输出文件夹中可以看到很多独立的txt文件 我们可以查看上上图中列出的数字大于0的文件 比如telephone.txt 显示的都是电话号码 url.txt 显示的是浏览的网页和链接等

总结:我们通过三款工具，学习了文件恢复和数据提取的相关技能。首先通过CTF隐写类题目中最常见的工具Foremost来进行文件提取，它会通过扫描整个镜像来搜索支持的文件类型。之后我们使用scalpel针对同一个文件进行提取，只不过需要在配置文件中针对我们想要提取的文件类型做些修改。这两款工具都提供了audit.txt来总结提取出的文件列表以及分析的详细信息。 Bulk_exetractor是一款十分出色的工具，被用来提取数据、发现隐藏的信息，在上面的实验中已经见识它的威力了。