2021-09-02 網(wǎng)安實驗-文件修復-BinWalk實現(xiàn)文件提取

磁盤鏡像分析

解壓題目提供的data.7z文件得到一個名為data.img的文件，從后綴img來看這可能是一個磁盤鏡像文件，這里我們可以嘗試使用BinWalk來對其進行掃描。打開CMD命令提示符，首先切換到C:\CTF\DiskForensics目錄，隨后執(zhí)行python C:\Python27\Scripts\binwalk data.img -f res.txt命令。因為BinWalk可能產(chǎn)生大量掃描結(jié)果，而CMD默認的緩沖區(qū)無法保存這么多的輸出數(shù)據(jù)，因此這里使用-f參數(shù)將掃描結(jié)果輸出到res.txt文件中，如下圖所示：

等待掃描完畢之后我們就可以打開res.txt來查看掃描結(jié)果了。通常來說在數(shù)據(jù)文件中可能會存在Zip文件或者Rar文件，這里使用Notepad++打開res.txt文件，搜索關(guān)鍵字Zip archive data，一共找到四個搜索結(jié)果，如下圖所示：

仔細對比可以看出，這四個壓縮包中的文件名都是data_encrypted，而且大小都是一樣的，所以這四個文件的數(shù)據(jù)可能是一樣的。我們定位到第一個Zip文件，從BinWalk的掃描結(jié)果可以看出數(shù)

鏡像服務

版權(quán)聲明：本文內(nèi)容由網(wǎng)絡(luò)用戶投稿，版權(quán)歸原作者所有，本站不擁有其著作權(quán)，亦不承擔相應法律責任。如果您發(fā)現(xiàn)本站中有涉嫌抄襲或描述失實的內(nèi)容，請聯(lián)系我們jiasou666@gmail.com 處理，核實后本網(wǎng)站將在24小時內(nèi)刪除侵權(quán)內(nèi)容。