cfile清空文件内容_'清空回收站'后依然在磁盘中被抓到证据

最新推荐文章于 2023-04-28 13:54:44 发布
最新推荐文章于 2023-04-28 13:54:44 发布
阅读量157 收藏
点赞数
文章标签: cfile清空文件内容 将结果保存在磁盘文件leapyear.txt中。 指定文件不是虚拟磁盘 指定的文件不是虚拟磁盘 指定的虚拟机磁盘需要修复 指定的虚拟磁盘需要修复

这是 酒仙桥六号部队 的第 16 篇文章。

全文共计1871个字,预计阅读时长5分钟。

Ps.东北地区安全团队招人中...

前言

当我们需要对计算机进行磁盘取证时往往会发现,该台电脑之前的操作人员已经将敏感文件删除进入回收站,并清空回收站或从回收站中彻底删除了这些文件,而这些文件很可能包含了重要的取证信息。

867e0247a8671b5b3dd95fed459dbb7f.png

从原理上,删除只是在文件上作了删除标记,而真正的文件内容仍保存在磁盘的数据区中,并未得以删除。要等到以后的数据写入,把此数据区覆盖掉,这样才算是彻底把原来的数据删除。因此只要将整个磁盘进行分析,就有可能将已经彻底删除的文件恢复。

准备工作

目标系统:Win7SP1x86

1、首先我们在 D 盘创建几个小图片、小视频、小文档:

image.jpg、video.mov、text.txt、document.docx、image_d.jpg、video_d.mov、text_d.txt、document_d.docx。

2、右键删除

image_d.jpg、video_d.mov、text_d.txt、document_d.docx,

之后 "清空回收站"。

f2ef2b8fbd1f0dda6feff48c1a495471.png

创建磁盘镜像

在进行磁盘取证时,为了尽量减少目标主机文件系统的变动,我们可以使用离线方式进行磁盘取证,将目标主机的磁盘创建镜像,放在移动磁盘中存储。

3.1 在 Kali 下创建磁盘镜像

3.3.1 启动到Live模式下

1、首先启动进入取证模式;

70a356a468d8ad5407635bb443711e58.png

2、接入移动硬盘,fdisk -l 确定移动硬盘的设备名为/dev/sdb1;

32e16f1382222916184080138c58a4d1.png

3、挂载移动硬盘。

cd /mnt mkdir udisk mount /dev/sdb1 /mnt/udisk 
36694814e53b15edbe3e82ebd43b5f0e.png

3.1.2 使用Guymager

7cdb6dd76988f35bfaa57277062aeb77.png

1、在目标硬盘上右键 Acquire image,

设置相关信息、保存路径、文件名,开始获取磁盘镜像。

下面的hash校验我勾掉了,是为了让速度更快一些。

a30ef48781005d020a5cfc514640ecfc.png

2、Start开始后,需要一段时间,由磁盘容量、速度与电脑性能决定。

27dce9378f90e338e877e62df05b2c6e.png

3、镜像制作完成。

469c1d07971156dae8e4b8ade6cc1cc1.png
d1f3ceed6ddc940526b0ebd3421b23ca.png

全磁盘镜像文件大小共4.7GB。

224009e82bde653c4bb26e6753ef2c3d.png

磁盘实际使用大小是这样的。

733074045c89f9b9ed3d525e634c77c1.png

3.1.3 使用dd

1、fdisk -l 判断目标磁盘编号:

#if=指定需要制作映像设备,-of=指定保存的位置。

2、

dd if=/dev/sda of=/mnt/udisk/Forensic/dd/sda 
bb61b7191912bbcfb26a6afef3258e1d.png

dd速度非常慢,且在备份过程中没有任何进度提示,直接放弃换用增强版dd------dc3dd。

3.1.4 使用dc3dd

dc3dd和dd参数使用是一样的,它们一样是完整备份,对备份盘容量需求比较大,这里只备份sda3(D盘),可以看到备份了约6GB大小。

764853fcea1d29b80df469c2b3dbe770.png

最终D盘分区镜像大小5.81GB。

53e39fd862527eb6bff3b11cf5db05d8.png

3.2 在 Windows 下创建磁盘镜像

在Windows下也最好使用Live系统如WindowsPE启动盘进行取证,但是由于这里没有现成的包含取证工具的启动盘,因此直接在系统里操作。取证工具、创建的磁盘镜像文件,都放在虚拟机的共享磁盘上,尽可能避免改变目标文件系统。

3.2.1 使用X-Ways Forensics

这个工具就是Winhex的取证加强版,因此界面几乎都一样。

1、工具栏选择Create Disk Image。

b47eb90a1c5277db7688cf6ba67d781c.png

2、直接给整个磁盘创建镜像,创建分区镜像可以选择上边的。

9b4a6eb49483cd96bb6327f5a4e5afe6.png

3、选择好存储路径后点OK开始。

447b3340c73514530f261f18c1b3b410.png

4、开始创建镜像,镜像备份的速度比dd真是快的太多了。

7dd481ab0ca99ddbf37f5d54537e14b8.png

全盘备份5.8GB,要比guymager备份的文件容量多1GB,这个结果可能是受到了在线备份镜像的影响。

15cf680586994cba464b0f3916a15904.png

3.2.2 使用AccessData FTK Imager

由于我找到的这个版本不支持32位系统,因此只能使用它在另外一台x64虚拟机做一个创建镜像的演示。(D盘环境存在相同的文件读写删除操作)

b69d39f7883fa827a394f7314ed3632e.png

1、同样在工具栏选择Create Disk Image。

2fff7642a3c4cf238098ab7aade338e2.png

2、选择整个磁盘或分区,这里准备备份一个分区D盘。

b0838413ce9a8b0d137be352eca3ab1e.png
b90a81be58ca9c44073c3111f271c09d.png

3、选择备份类型,这里不建议用Raw,那样就跟dd一样创建一个和磁盘大小一样的镜像,无视实际使用空间大小。

c61b05cdbfd167043a42d3edd97f0afb.png

4、按需填写证据信息。

963f6d1a86f781adf2d1bc87673fb223.png

5、选择存储位置,之后开始创建镜像。

602318fce8e5614df93730d1e5aec7d6.png
625f8dd69a60c4a1b3e60f108f568274.png

D盘镜像大小21.6MB(如果使用RAW格式,将会是10GB)。

31d41b2f6c289da9660d7a92e307154d.png

分析磁盘镜像

4.1 使用 X-Ways Forensics 分析证据

相较于FTK,X-Ways拥有更完善的案件、证据管理模式,可以保存案件后续再接着分析。

1、创建案件。

b127b7d5eb277a1b4170dc5dd068e1aa.png

2、导入证据。

可以导入各类证据,这里选择镜像。

11e2dbdc11c07dddf74468f241b604f8.png

3、导入前面创建的4个镜像(包含两个全磁盘镜像、1个x86虚拟机的D盘、1个x64虚拟机的D盘)。

925490acdc0cd9b5a0d0ec8ea1920e49.png

4、查看D盘里的文件 。

可以正常显示图片,但是这里没有看到被删除的文件(被删除的文件显示为半透明)。

67badb1e153daf7f099c4c18f3474441.png

5、寻找被删除的文件。

由于删除时,是先del进入回收站,然后清空的,因此被删除的文件会在回收站的路径中。

5cd3e603e7b65b6cd5c8457f51ebbf21.png

6、可以将镜像中有需要的文件恢复出来进一步分析。

bbe9f9f381af70c1cd3d0411432116ed.png

4.2 使用 AccessData FTK Imager 分析证据

1、添加证据。

e39b5e0e434df2fcfe5a42480892ef56.png

2、选择镜像文件,之后选择位置即可。

1abf3215e01b02a0820289ead9d05896.png

3、将4个镜像全部载入,这里不支持重命名。

963573ca79dedc764ee5389c3c9d6601.png

4、分析文件。

FTK同样可以直接预览txt、jpg

b3898603c714600f96d368a68aff5c8b.png

5、寻找被删除的文件。

同样到回收站目录下寻找被清空的文件,这里是使用红叉表示其被删除了。

7f069c2b729ca63805ff99c6264a4ea4.png

6、导出文件。

FTK同样可以导出镜像内的文件。

f4f8040c9487318fd056817fad6872dd.png

磁盘镜像挂载

1、FTK有个特殊功能,可以把磁盘镜像映射为一个虚拟磁盘。

b1e9cf73e46c1f51c48a06b611b90578.png

2、这样就多了一个和win7x86主机里一样的分区。

e789541663cb469f96cb01f309d6c29d.png

3、不用的时候unmount即可。

bbb26c9d5cdca1e39c8fed4314e937f2.png

快速提取镜像内的文件

使用 foremost 提取磁盘映像里的文件。

foremost -t all -i sda3

-i 指定镜像文件-t 指定文件类型all 是所有支持的类型,具体支持的类型查看man。

运行结果:

906f7f70e98e9655ff10abaa4193426b.png

经过测试,jpg、mov、txt、docx四种类型的文件,只能提取到docx和jpg两种格式的文件。

f4d4f77b9af483734ba334a4b77261af.png
weixin_39618456
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
MFC 实现轮流写2个文件
04-24
本教程将详细介绍如何实现这样一个功能:每当一个文件的大小达到500KB时,程序会自动清空文件并切换到另一个文件进行写入,并在下次启动时继续从上次结束的文件写入。 首先,确保你的项目已经配置为MFC应用程序。...
MFC 写文件的例子
02-01
在Microsoft Foundation Classes (MFC)库,写文件是一个常见的任务,它允许程序将数据存储到磁盘上以便后续读取或持久化信息。在这个"**MFC 写文件的例子**",我们将深入探讨如何利用MFC来实现这一功能,并且...
cfile清空文件内容_这可能是全网文件读写操作最为简明易懂的讲解
weixin_39702483的博客
11-24 544
讲解编程语言:Python文件打开方式:Open()核心讲解要点:Open的读写模式数'r'、'w'、'a'、'x'及'r+'、'w+'、'a+'的区别! 为什么要专门写一篇文章讲呢,因为我发现这几个参数远远没有其字面意思写得那么简单。例如,w+说好了是可读可写,但在帮课题组改一个社会网络分析的数据的时候,当我用w+方式打开一个文件之后,我发现我读入不了任何东西···我再打开文...
nginx关闭后仍然可以使用_iPhone 设置 9 个细节,关闭后不影响使用还能增加续航...
weixin_39642619的博客
11-18 121
怎样让 iPhone 做到既省电又不影响正常使用?注意“设置”的几个细节,就可以解决续航短的痛点。1.关闭自动更新应用程序iOS7 及以上版本都会自动更新应用程序,十分耗费电量,其实完全可以选择手动更新。打开【设置】—【iTunes 与 AppStore】— 关闭【APP 更新】。2.关闭后台 APP 刷新如果觉得 iPhone 后台活动应用耗电严重,可以自行去关闭后台应用程序刷新,打开【设置】...
nginx关闭后仍然可以使用_实验室超纯水机PP棉清洗后可以直接使用吗?
weixin_39933438的博客
11-20 75
自从武汉市疫情爆发以来,国内各省份各区域检验科就不断的需要检测各种不同的样本,这样高强度的检测业务会严重加重超纯水机的制水负担,由于超纯水机是经过多级过滤后才能制取满足实验需求的用水,在这个过程,会污染内部配件,从而失去制取达到标准水的能力。由于在疫情期间,许多的医院检验科化验室等部门需要将很多的样本进行检验,但许多的超纯水机厂家不能及时提供有效的服务,在这种时候,是否需要将超纯水机内...
停止了nginx服务还能打开网页
lucky-flash的博客
03-29 593
nginx.pid文件会记录服务进程pid,两次启动可能最后一次启动的进程会覆盖第一次的文件,因此关闭服务器之后,只是关闭了最后一次的服务进程,而前面的进程都仍在运行,所以还能打开网页。因为启动了两次服务,开启了多个进程,所以关掉之后仍然可以打开网页。启动了多次nginx服务器,运行第二次。停止了nginx服务还能打开网页。
nginx退出却依然能访问页面或未及时刷新
ChengR666的博客
09-22 1916
注意,一般会有多个nginx.exe进程在执行,所以要删除多个。当你以为你删除了所有的nginx.exe进程却发现依然能访问页面的时候,再按照上面所示在tasklist查找一下nginx.exe进程,有时你会惊喜地发现怎么还有?——直到nginx.exe删除干净后就会发现无法访问页面了,一切也就正常了。
MFC文件文件夹操作函数大全
10-31
在MFC(Microsoft Foundation Classes)库文件文件夹的操作是编程常见的任务。以下是一些关于MFC文件文件夹操作的关键知识点,包括创建、读取、写入、删除以及属性处理: 1. **创建文件夹**:使用`...
MFC txt文件读写.pdf
10-30
MFC(txt文件读写)是Microsoft Foundation Classes(MFC)的一种文本文件读写机制,用于在MFC应用程序读取和写入文本文件。本文将详细介绍MFC-txt文件读写的基本概念、文件变量的定义、文件的打开方式、写入信息...
文件读取的程序例子。可以参考一下啊
05-12
文件读取是指程序从磁盘、网络或其他存储介质获取文件内容的过程。在大多数编程语言,这通常通过打开文件、读取数据、然后关闭文件的一系列步骤来实现。 2. **文件操作模式** 在读取文件时,我们需要指定文件...
解决nginx退出后却依然能访问页面的问题
热门推荐
weixin_40908748的博客
11-25 1万+
切记使用start nginx启动服务,而不要使用nginx启动服务!!!否则你会遇到一系列难以想象的问题!!!
为什么nginx关闭了,还是能打开之前启动的网页
weixin_41285537的博客
04-28 2028
nginx明明关闭了服务,页面还是能打开
CFile文件时,清空文件
为了理想而奋斗
11-02 6341
<br /> <br /> <br />如果要是清空缓存 用<br />flush()即可<br /> <br /> <br />如果要是写文件时把原来的文件清空(如果存在原文件),<br />则在Open的时候不要带modeNoTruncated<br /> <br />即 CFile file;<br />file.Open("d.txt",CFile::modeCreate|CFile::modeWrite);<br /> <br /> 
CFile清空原有文件以及读取时末尾添加乱码的问题
ahsxsk的学习之路
10-09 1106
1、文件清空写入 在向文件内容时有时候希望将以前的全部清空, 这时候定义对象时 CFile file(m_Path,CFile::modeCreate|CFile::modeWrite);//指定路径以及文件操作方式  file.Write(m_Content,m_Content.GetLength());//将编辑框的内容写入文件 modeCreate就是必须添加的。 如果没有添加
为什么停止了nginx服务还能打开网页?
imxiezy的博客
08-13 4860
通过表象阐述为什么“关闭了”nginx服务器还能打开网页的原因,给出了两种解决的方法。
cfile清空文件内容_电脑用久了C盘爆满?这3个文件夹放心删,瞬间多出10个G!...
weixin_39759600的博客
11-23 191
Hello,叨友们大家好,我是木果! 一名追求数字生活、效率工作,且热爱数码产品的斜杠青年~相信很多人都遇到过这样的问题:“电脑用久了,每次开机花很长时间,反应越来越慢慢还经常卡死,真让人狂,气的想砸了电脑~”其实原因出在C盘,电脑产生大量的垃圾和缓存,或者存储习惯不好下载软件总默认保存在C盘,可C盘里的文件夹全是英文根本看不懂。今天木果就教大家清理垃圾文件,释放C盘空间,让电脑不再...
linux 下面启动nginx 和关闭nginx, 重启服务命令 :service network restart
qq_37469931的博客
03-06 8525
1 进入到安装的目录里面 whereis nginx 2. 进入该路径:cd /usr/local/nginx/sbin 3 启动nginx 命令: ./nginx 出现下面启动成功 4 查看nginx 的状态 ps -ef | grep nginx 出现master 则启动成功 5 关闭nginx 命令 kill -9 8725(进程号 上面的) 则关闭n...
nginx 关闭后启动失败
weixin_34233618的博客
04-10 257
[root@RHEL6 init.d]# /usr/local/nginx/sbin/nginx -s reloadnginx: [error] open() "/usr/local/nginx/logs/nginx.pid" failed (2: No such file or directory)[root@RHEL6 init.d]# /usr/local/nginx/...
cfile清空文件内容_[源码和文档分享]基于C++实现的文件系统
weixin_39647458的博客
11-22 116
一、命令列表命令名功能格式示例create创建空间create <name> [size(可选)]create SName 建立一个名为 SName 大小为 1G 的 Windows 文件作为存储空间; create SName 2048 建立一个名为 SName 大小为 2G 的 Windows 文件作为存储空间mount安装空间mount <name>mount SNa...
cfile读写文件
最新发布
05-25
cfile是一个C语言标准库文件操作函数,可以通过它来读写文件。下面是一个简单的例子,展示了如何使用cfile读写文件: ```c #include int main() { FILE *fp; char buf[100]; // 打开文件 fp = fopen(...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值