Liberado para Windows e Linux, o Bulk Extractor tem a finalidade de varrer uma imagem forense em formato raw, AFF ou EWF (Encase) e extrair/localizar vários artefatos bastante importantes em investigações:
- Cartões de Crédito;
- Domínios;
- Endereços de email;
- Dados no formato da RFC 822;
- Pacotes TCP/IP em dumps de memória, pagefile.sys e hyperfil.sys;
- Números de Telefone;
- URLs;
- URLs de Busca (Google, Yahoo, etc);
- URL de serviços Web (Google, Webmails, Tradutores, etc);
Além desses dados, o Bulk Extractor monta uma wordlist com todas as palavras encontradas na imagem forense. Essa wordlist pode ser muito útil para ser usada como dicionário de dados no John The Ripper, para quebra de senhas, por exemplo.
O utilitário é bastante simples. Ele aceita um diretório de saída como parâmetro, bem como o nome do arquivo de imagem. Na verdade, o Bulk Extractor nem depende exatamente que o arquivo seja uma imagem forense. Ele opera em qualquer tipo de arquivo, extraindo as informações listadas acima.
Para facilitar a recuperação em caso de falhas no meio da operação, o Bulk Extractor trabalha em duas fases, de forma que se houver qualquer problema na segunda fase, o trabalho realizado na primeira (que é demorado, por natureza) não se perde.
Comentários ?
Até o próximo post !
Nenhum comentário:
Postar um comentário