背景
有的时候攻击者会把恶意文件删了,但并没有完全删除,还是有恢复的可能。这里列举一些可以恢复的工具。
国产很多都是要收费的,写着免费试用,下载后也能扫出来删除的,恢复的时候就让你付费...
recuva
由 Piriform 开发,可从外部驱动器、硬盘驱动器、存储卡等设备中检索丢失或意外删除的文件。它支持多种文件格式,具备先进的深度扫描模式,操作界面简洁,与几乎所有 Windows 版本兼容;
下载地址:https://www.ccleaner.com/recuva/download/standard
拥有图形化界面,操作简单方便。(深度扫描慢,可以先正常扫描一遍看看,需要安装)
傲梅WinFR
WinFR完全调用Windows文件恢复(Microsoft 命令行应用程序),为用户提供简单易用的图形界面,帮助用户快速从Windows 11/10/8/7中恢复已删除的文件。
下载地址:https://www.winfr.com.cn/
提供图形化操作,扫描速度快(需要安装)
PhotoRec
PhotoRec 是一款开源的数据恢复工具,专门用于从硬盘、光盘、U 盘、SD 卡等存储设备中恢复被删除或丢失的文件。它能够恢复多种文件类型,包括图片、文档、视频等。
下载地址:https://www.cgsecurity.org/wiki/TestDisk_Download
它是testdisk工具集中的一个
使用也很简单,下载解压后,用命令行运行photorec_win.exe
,选择磁盘,选择分区,可以在 [File Opt]
中选择要恢复的文件类型。
然后等待结果就行,但结果好像比较乱。
testdisk
Testdisk 是一款强大的免费数据恢复软件,遵循 GPL 许可证开源。它主要用于帮助用户恢复丢失的分区、修复损坏的文件系统等。
Github: https://github.com/cgsecurity/testdisk
Github 文档: https://github.com/cgsecurity/testdisk_documentation
中文文档:https://www.cgsecurity.org/wiki/Testdisk_%E6%93%8D%E4%BD%9C%E6%8C%87%E5%8D%97
下载地址:https://www.cgsecurity.org/wiki/TestDisk_Download
纯命令行工具,下载解压后,cmd输入 testdisk_win.exe
开始使用,启动后就是命令行的选择界面了,一般操作的步骤如下:
[Create]创建日志
或者[Append]添加日志
或者[No Log]不记录日志
选择磁盘分区
选择分区类型(一般默认的就行)
选择功能
这里以选择
Advanced
为例来快速恢复,主要还是边操作边看说明,如下:选中Undelete
去尝试恢复会自动加载删除的文件,根据下方的功能操作就行,如果文件相对比较多,可以
a
选中所有目标,然后全部C
复制到指定的目录中保存后再分析。这样就是都恢复完成了。
选择 Analyse
后的操作都差不多,选择合适的分区能看到文件的那种,然后开始 Deeper Search
,等扫描完了去找到相关的文件复制到本地可见的目录中就行。详细可参考《如何使用 testdisk 恢复已删除的文件》