数据取证常用三大软件

文件恢复、数据提取的相关技术及应用、熟练掌握三款相关开源工具foremost、scalpel、bulk_exetractor的使用。

1. 关于foremost
   Foremost是基于文件开始格式，文件结束标志和内部数据结构进行恢复文件的程序
   Foremost参数说明
   $ foremost [-v|-V|-h|-T|-Q|-q|-a|-w-d] [-t ] [-s ] [-k ]
   [-b ] [-c ] [-o ] [-i

-V – 显示版权信息并退出
-t – 指定文件类型. (-t jpeg,pdf …)
-d -打开间接块检测 (针对UNIX文件系统)
-i – 指定输入文件 (默认为标准输入)
-a – 写入所有的文件头部, 不执行错误检测(损坏文件)
-w – 向磁盘写入审计文件，不写入任何检测到的文件
-o – 设置输出目录 (默认为为输出)
-c – 设置配置文件 (默认为 foremost.conf)
-q – 启用快速模式. 在512字节边界执行搜索.
-Q – 启用安静模式. 禁用输出消息.
-v – 详细模式. 向屏幕上记录所有消息

2. Scalpel
   对那些没有日志机制的旧有文件系统，scalpel 工具是一个很好的选择。scalpel 是快速文件恢复工具，通过读取文件系统的数据库来恢复文件。它是独立于文件系统的。
3. Bulk_exetractor
   一个计算机取证工具，可以扫描磁盘映像、文件、文件目录，并在不解析文件系统或文件系统结构的情况下提取有用的信息，由于其忽略了文件系统结构，程序在速度和深入程度上都有了很大的提高

Scalpel
Scalpel作为早期的foremost的升级版被开发出来，主要是针对解决foremost提取文件时高CPU占用率和ROM使用率的问题而开发
和Foremost不一样，所需提取的文件类型需要在scalpel的配置文件中设置
配置文件的路径

Bulk_extractor
在前面的实验中我们可以看到，foremost和scalpel是比较有效的文件恢复和提取的工具，但是仅限于几种特定的类型，为了进一步的提取数据，我们可以使用Bulk_exetractor
除了foremost、scalpel能提取的恢复、提取的数据外，Bulk_exetractor还可以提取的数据包括：信用卡 码、邮箱地址、url、 页信息等
这次使用到的文件也是互联 上公开的，可以从这儿下载
http://downloads.digitalcorpora.org/corpora/scenarios/2009-m57-patents/drives-redacted/
在使用Bulk之前，我们可以-h查看帮助说明

总结:我们通过三款工具，学习了文件恢复和数据提取的相关技能。首先通过CTF隐写类题目中最常见的工具Foremost来进行文件提取，它会通过扫描整个镜像来搜索支持的文件类型。之后我们使用scalpel针对同一个文件进行提取，只不过需要在配置文件中针对我们想要提取的文件类型做些修改。这两款工具都提供了audit.txt来总结提取出的文件列表以及分析的详细信息。
Bulk_exetractor是一款十分出色的工具，被用来提取数据、发现隐藏的信息，在上面的实验中已经见识它的威力了。