远程电子数据取证-服务器分析(第1题)
- 难易程度:一颗星
- 分类:电子数据取证
- 标签:代码审计、取证分析、脚本、电子数据
背景介绍
- 某服务器被攻击者远程登录,系统管理员说攻击者删除了部分文件,安全工程师"墨者"对服务器上电子数据进行远程取证分析。有句话叫"智者千虑,必有一失",攻击者删除的文件会在哪里呢?
实训目标
- 掌握系统隐藏文件的显示方法;
- 了解Windows的NTFS分区文件系统Recycler的作用;
题目分析
题目主要是想让了解 Recycler 文件夹的作用:
- Recycler 文件夹其实就是回收站,在桌面上我们就能看到回收站图标,虽然我们看到的被删除文件都在这里,但是实际上文件被删除时都是保存在各自磁盘的recycler文件夹中。
- 硬盘在分区后每个盘符里都保留一部分作为回收站的临时存放地。就是这个名字了。平时删除道回收站的文件其实都是被拖到相应盘符的这个文件夹里面。
- 这个文件夹是受系统保护的隐藏文件夹,所有不能删除该文件夹,如果用户删除了该文件夹之后,系统还是会重新帮你创建一个新的 Recycler 文件夹了。
我们看一下 Reycler 文件夹,打开XP虚拟机,找到该文件夹,发现其中有回收站
新建一个1234文件,然后删除,打开该文件夹,发现其中有删除的1234文件
发现在win10和win7中已经取消了该文件夹。
因此,只要进入远程桌面,找到 Recycler 文件夹,恢复出删除的文件就可以了。
解题步骤
根据给出的信息
使用win远程桌面连接
输入账号密码,成功连接
打开C盘,搜索 Recycler 文件夹
打开文件夹,里边有key文件,得到key