利用回收站隐藏文件

最近学到数字取证的隐藏文件了，分享利用回收站隐藏文件的方法给贝贝们！

原理分析：此方法就是将待隐藏文件复制到回收站文件（此回收站非彼回收站）中，然后把原文件夹删除再清空回收站。此时，文件“消失”。但其实，此文件已经隐藏在了更深层次的回收站文件夹中。

跟着讨饭操作一遍吧！

一、演员登场——回收站、111（待隐藏文件夹）

二、修改文件夹选项

点击选项——点击查看——取消“隐藏受保护的操作系统文件”（弹出的提示别管，操作时谨慎即可）——勾选“显示隐藏的文件、文件夹或驱动器”，一顿操作猛如虎，但是看到$RECYCLE.BIN时，一切都释怀了！这里的$RECYCLE.BIN，我们可以理解为回收站分站，每个盘里都有一个，保险起见，本文使用D盘的分站。（D盘OS:盘善被人欺！）

三、复制待隐藏文件到回收站分站

1、复制分站的地址备用

2、使用命令：‘xcopy（复制） 111（带隐藏文件） D:\$RECYCLE.BIN\S-1-5-21-3606784600-2720371947-1812710598-1001<分站地址>\222（带隐藏文件的新名）’贝贝们对照下面的结果图输入自己的命令。

回车，根据复制的类型选择F或者D，如图，讨饭明显已经成功啦！（求夸ღ( ´･ᴗ･` )）

3、删除桌面上的文件夹111——“毁尸灭迹”

回收站的好朋友没啦！

此时，111彻底隐身了（渣男111 呜呜呜~）

四、取消对111的隐藏

1、查看分站的目录，看到222了吧（111改名换姓了，大家不要放过这个222！[○･｀Д´･ ○]）

2、从分站中复制222到桌面，如下图：

渣男回归哈。。。此时，我们又得到了原始文件。

五、清除分站中的文件夹

使用命令：rd 2（tab键补全）

删除文件使用del命令即可

本文就分享到这儿啦！讨饭没讲清楚的欢迎贝贝们指教！ღ( ´･ᴗ･` )

对了，不要忘记将文件夹选项修改回来，毕竟是受保护的系统文件，谨慎操作！（海帕）