背景

有的时候攻击者会把恶意文件删了,但并没有完全删除,还是有恢复的可能。这里列举一些可以恢复的工具。

国产很多都是要收费的,写着免费试用,下载后也能扫出来删除的,恢复的时候就让你付费...

recuva

由 Piriform 开发,可从外部驱动器、硬盘驱动器、存储卡等设备中检索丢失或意外删除的文件。它支持多种文件格式,具备先进的深度扫描模式,操作界面简洁,与几乎所有 Windows 版本兼容;

下载地址:https://www.ccleaner.com/recuva/download/standard

拥有图形化界面,操作简单方便。(深度扫描慢,可以先正常扫描一遍看看,需要安装)

image-20240802下午22223838

傲梅WinFR

WinFR完全调用Windows文件恢复(Microsoft 命令行应用程序),为用户提供简单易用的图形界面,帮助用户快速从Windows 11/10/8/7中恢复已删除的文件。

下载地址:https://www.winfr.com.cn/

提供图形化操作,扫描速度快(需要安装)

image-20240802下午31032399

PhotoRec

PhotoRec 是一款开源的数据恢复工具,专门用于从硬盘、光盘、U 盘、SD 卡等存储设备中恢复被删除或丢失的文件。它能够恢复多种文件类型,包括图片、文档、视频等。

下载地址:https://www.cgsecurity.org/wiki/TestDisk_Download

它是testdisk工具集中的一个

使用也很简单,下载解压后,用命令行运行photorec_win.exe,选择磁盘,选择分区,可以在 [File Opt] 中选择要恢复的文件类型。

image-20240802下午24014308

然后等待结果就行,但结果好像比较乱。

image-20240802下午23641415

testdisk

Testdisk 是一款强大的免费数据恢复软件,遵循 GPL 许可证开源。它主要用于帮助用户恢复丢失的分区、修复损坏的文件系统等。

Github: https://github.com/cgsecurity/testdisk

Github 文档: https://github.com/cgsecurity/testdisk_documentation

中文文档:https://www.cgsecurity.org/wiki/Testdisk_%E6%93%8D%E4%BD%9C%E6%8C%87%E5%8D%97

下载地址:https://www.cgsecurity.org/wiki/TestDisk_Download

纯命令行工具,下载解压后,cmd输入 testdisk_win.exe 开始使用,启动后就是命令行的选择界面了,一般操作的步骤如下:

  1. [Create]创建日志 或者 [Append]添加日志 或者 [No Log]不记录日志

  2. 选择磁盘分区

  3. 选择分区类型(一般默认的就行)

  4. 选择功能

    1. 可以选 Analyse 进行深度分析,然后再从磁盘去定位(很慢很慢)
    2. 也可以选 Advanced 去快速寻找到误删的文件(快,但不全)

      image-20240802下午14226923

  5. 这里以选择 Advanced 为例来快速恢复,主要还是边操作边看说明,如下:选中 Undelete 去尝试恢复

    image-20240802下午14416004

  6. 会自动加载删除的文件,根据下方的功能操作就行,如果文件相对比较多,可以 a 选中所有目标,然后全部 C 复制到指定的目录中保存后再分析。

    image-20240802下午14546168

  7. 这样就是都恢复完成了。

    image-20240802下午14713178


选择 Analyse 后的操作都差不多,选择合适的分区能看到文件的那种,然后开始 Deeper Search ,等扫描完了去找到相关的文件复制到本地可见的目录中就行。详细可参考《如何使用 testdisk 恢复已删除的文件》

Copyright © d4m1ts 2023 all right reserved,powered by Gitbook该文章修订时间: 2024-08-02 15:11:26

results matching ""

    No results matching ""