数据分析器工具

Question

我必须找到可以在硬盘上文件中找到的信息。是否有很好的工具来搜索特定的关键字(甚至在硬盘空闲空间区域;-)，检测加密文件，检测错误的文件类型等等？

目前，我使用Windirstat查看所有文件类型，并手动打开每个文件类型。这个过程很长，也不可靠。

有人能提供更好的方法吗？

Answer 1

只是运行命令并不是一个真正的选择，我建议你看看这个网站：http://www.lnx4n6.be/

这是比利时联邦计算机犯罪股的一个项目。他们有一个带有数字取证工具的linux实时磁盘。在演示文稿中，您可以找到关于如何找到东西的教程。即使在硬盘没有报告的隐藏空间上(例如，将1TB硬盘的固件替换为750 GB硬盘)。

请注意，您需要检查每个文件是否是它假装的文件，以及每个文件的空白。

对于您可以做的关键字，只要磁盘没有加密：

• 获取磁盘的二进制副本，让我们称其为usbkey.dd
• 列出类似的关键字列表，并将其命名为keywords.txt：

然后调用usbkey，将其传输到keywords.txt中的字符串和grep关键字，如下所示：

cat usbkey.dd | strings | egrep -i -f keywords.txt

如果您想知道文件键上的位置：

cat usbkey.dd | strings -tx | egrep -i -f keywords.txt

字符串中的-tx将为您提供十六进制偏移量。

我建议你看看他们网站上的法医报告，因为就像我说的，还有更多。