下载附件后是个img文件,经过上次的学习,我们学会了先用volatility查看下镜像文件的信息。
binwalk 分析一下原img文件:
发现分离出来的图片和动态图没有什么用。
内存镜像的挂载:
Linux下对img镜像文件可以进行挂载查看:mount命令。
先用mkdir命令在mnt的目录下创建个文件:mkdir /mnt/cdrom
然后进行挂载镜像:mount 17.img /mnt/cdrom
然后查看下当前目录下的文件:
可以看出来和前面分离出来的图片相同。
然后出现了一个lost+found
文件恢复命令:extundelete 17.img —restore-all
该命令extundelete默认是没有安装的,需要根据报错信息安装。
可以在同目录下发现恢复的文件夹:
挂载完镜像文件后记得卸载:umount /mnt/cdrom