「附件」
题目描述:
某星星在离职前给公司服务器来了一记rm -rf /*,真实演绎了什么叫"删库跑路",老板把恢复数据的希望寄托在刚刚入职的你身上。你能帮助公司恢复出硬盘里的重要数据吗
Hint1:通常来说删除文件只是把磁盘上对应的空间标记为未使用状态,数据本身还是存在于原本的位置
Hint2:有一款强大的工具可以识别或提取常见二进制文件内的数据
附件是个压缩文件,解压后为:vm-106-disk-1.qcow2
「思路」
复制qcow2文件到kali,尝试分离文件:binwalk -e vm-106-disk-1.qcow2 --run-as=root
在分离出的8091000文件中,直接得到了flag
「工具」
- Kali Linux
- binwalk
「知识拓展」
qcow2文件
qcow2是qemu虚拟机中特别常用的镜像文件格式,QCOW即Qemu Copy-On-Write写时拷贝,后面的2即为版本,因为在qcow2出现之前还有qcow格式的镜像文件。从字面上理解,qcow/qcow2的文件组织形式应该是建立在Copy-On-Write这个基本的机制上,即当某个数据块被引用多次(两次或两次以上)时,若某个实例尝试写该数据块,为了不让其他实例看到该数据块的变化,就会将该数据块拷贝一份,然后将修改生效到拷贝的数据块上。这个机制和内存的Copy-On-Write的机制是基本一致的。
参考链接:
https://zhuanlan.zhihu.com/p/103358729