给出百度云地址,下载文件,是个7z压缩包
里面是个img镜像,解压出来
用AccessData FTK打开
File -> Add Evidence Item...,选择打开image file
看到目录文件,一般这个时候,会想着去看/etc/passwd文件,这里存着新建的用户信息
直接看最后一个,
e8gsgd45hd5s
这个就是了
给出百度云地址,下载文件,是个7z压缩包
里面是个img镜像,解压出来
用AccessData FTK打开
File -> Add Evidence Item...,选择打开image file
看到目录文件,一般这个时候,会想着去看/etc/passwd文件,这里存着新建的用户信息
直接看最后一个,
e8gsgd45hd5s
这个就是了