利用Kali Linux恢复误删的学习资料

不小心删除了学习资料，回收站也清空了。想要温故而知新，怎么办呢？同样在他人在不接触我电脑的情况下。回收站中已清空的文件，能否恢复呢？

🎯获取系统shell

这里为了方便演示，表格直接用msf来获取目标权限。

接下来，我们输入shell进入目标电脑的终端。

可以看到当然目录下的文件信息 解决乱码问题，我们在终端中输入下面命令即可

chcp 65001

退出shell界面，执行执行命令exit即可。接下来我们要做的是，让当前会话在后台执行。

background

⚽查找设备盘符

现在给大家来说说如何利用msf的post/windows/gather/forensics/enum_drives模块来讲解恢复数据。选择模块

use post/windows/gather/forensics/enum_drives

查看当前模块的配置信息show options

这里可以看到只需配置session会话号即可，这里根据你的实际配置。

set SESSION 2

然后run

可以看到，当前设备所有的盘符。（如果没有显示，是因为权限不足，需要提权。）

🎑恢复数据

这里我以F盘为例

use post/windows/gather/forensics/recovery_files
set DRIVE F:
set SESSION 3
run

这时候，根据删除文件的大小扫描时间可能较长。耐心等待……

等待片刻后，我们已经找到了被回收站清理的文件信息。

我们这里尝试进行恢复

set FILES 3231423488,3231419392

后面的这些数字便是我们找到的文件ID编号

然后运行run我们可以看到文件已经恢复到了/root/.msf4/loot目录下

好了，我的学习资料总算保住了。

⛳总结

其实在msf中还有特别多并且好玩的模块。真是这些模块的加入，才使得msf变得更加灵活和有趣。