Поиск и извлечение данных из файлов с Bulk Extractor

Как пользоваться Bulk-Extractor Kali Linux

В сегодняшнем уроке по компьютерной криминалистики я познакомлю вас с инструментом Bulk_Extractor, с помощью которого можно найти и извлечь из файлов важные конфиденциальные данные.

Еще по теме: Особенности форензики в Windows 10

Bulk_Extractor — это инструмент Linux, который находит и извлекает данные такие, как адреса электронной почты, ip-адреса, данные кредитных карт, урлы сайтов и другую информацию с любого носителя или образа диска.

Это многопоточный инструмент, поэтому, в сравнении с другими подобными утилитами, работает намного быстрее. Кроме обычных текстовых файлов Bulk-Extractor может работать с архивами ZIP, GZIP, RAR и со сжатыми файлами типа PDF.

Тулза используется специалистами форензики и киберполицией для расследования различных форензик-кейсов, и может также работать с поврежденными файлами.

Bulk_Extractor уже установлен в Kali Linux. Можно сразу открывать справку:

Справка bulk_extractor Kali Linux

Ниже список сканеров, которые могут быть использованы для поиска информации. Первая часть списка сканеров не используется по умолчанию. Вторая используется по умолчанию.

Список сканеров bulk_extractor

Следующие сканеры используются по умолчанию. Для отключения сканеров, которые включены по умолчанию, используем параметр -x и после него указываем сканер.

  • -x aes — сканер поиска aes
  • -x base64 — сканер base64
  • -x elf — сканер elf
  • -x email — поиска адресов электронной почты
  • -x evtx — сканер evtx
  • -x exif — поиск данных exif
  • -x facebook — сканер поиска фейсбук
  • -x gps — поиск данных GPS
  • -x gzip — поиска в архивах gzip
  • -x httplogs — сканер httplogs
  • -x json — сканер json
  • -x kml — сканер kml
  • -x msxml — сканер msxml
  • -x ntfsindx — сканер ntfsindx
  • -x ntfslogfile — сканер ntfslogfile
  • -x ntfsmft — сканер ntfsmft
  • -x ntfsusn — сканер ntfsusn
  • -x pdf — сканер pdf
  • -x rar — поиск в файлах rar
  • -x sqlite — поиск в файлах sqlite
  • -x utmp — сканер utmp
  • -x vcard — сканер vcard

Эти сканеры отключены. Для использования сканеров добавляем параметр -e и после него указываем сканер. 

  • -e base16 — base16
  • -e hiberfile — файл hiberfile
  • -e outlook — outlook
  • -e wordlist — использование списка слов
    • -S word_min=6 — минимальный размер слова
    • -S word_max=16 — максимальный размер слова
    • -S max_output_file_size=100000000 — максимальный размер выходного файла слов
    • -S strings=0 — поиск строк вместо слов
  • -e xor — включить сканер xor
  • -S xor_mask=255 — значение маски XOR, в десятичном формате

В качестве примера попробуем найти данные в файлах из образа диска полученного в ходе расследования. Для простого поиска используем команду:

Параметр -o устанавливает каталог для сохранения найденных данных. После выполнения команды, Bulk_Extractor начнет поиск данных.

Поиск данных в файлах с Bulk-Extractor на Kali Linux

Процесс сканирования займет некоторое время в зависимости от включенных сканеров и размера сканируемого образа. Вы можете отключить ненужные сканеры — это ускорит процесс поиска.

Теперь попробуем напрямую сканировать флешку, не создавая образ диска. Для этого подключим флешку к компьютеру и определим раздел:

Bulk Extractor Kali linux. Проверка разделов диска

Мы получили список подключенных дисков. Наша флешка — /dev/sdb.

На этот раз используя параметр -E подсунем список поисковых слов:

Bulk_Extractor будет искать данные используя список слов и сохранит найденные данные в каталог «kali-pendrive». Результат команды на следующем скрине:

Извлечение данных из файлов Bulk Extractor Kali Linux

Вот таким образом можно использовать Bulk_Extractor для поиска и извлечения данных из файлов на Kali Linux. Другие материалы по форензике можете найти в соответствующем разделе или с помощью поиска.

Полезные ссылки:

ВКонтакте
OK
Telegram
WhatsApp
Viber

Добавить комментарий

Ваш адрес email не будет опубликован.