下载附件后是个img文件,经过上次的学习,我们学会了先用volatility查看下镜像文件的信息。
    图片.png
    binwalk 分析一下原img文件:
    图片.png
    发现分离出来的图片和动态图没有什么用。
    内存镜像的挂载:
    Linux下对img镜像文件可以进行挂载查看:mount命令。
    先用mkdir命令在mnt的目录下创建个文件:mkdir /mnt/cdrom
    然后进行挂载镜像:mount 17.img /mnt/cdrom
    图片.png
    然后查看下当前目录下的文件:
    图片.png
    可以看出来和前面分离出来的图片相同。
    然后出现了一个lost+found
    文件恢复命令:extundelete 17.img —restore-all
    该命令extundelete默认是没有安装的,需要根据报错信息安装。
    可以在同目录下发现恢复的文件夹:
    图片.png
    图片.png
    图片.png
    挂载完镜像文件后记得卸载:umount /mnt/cdrom