背景介绍
某服务器被攻击者远程登录,系统管理员说攻击者删除了部分文件,安全工程师"墨者"对服务器上电子数据进行远程取证分析。有句话叫"智者千虑,必有一失",攻击者删除的文件会在哪里呢?
实训目标
1、掌握系统隐藏文件的显示方法;
2、了解Windows的NTFS分区文件系统Recycler的作用;
解题方向
显示系统隐藏文件,找到所在分区的Recycler文件夹。
解题步骤
给出远程RDP服务的ip和端口,用自带远程桌面工具连接
工具>文件夹选项,启用如下设置。
再打开文件夹查看RECYCLER目录
点开,看到key