[XMAN2018排位赛]file 文件恢复

下载下来好像是个内存镜像，但是用volatility的得不到任何结果，那就用trid.exe识别一下：

• trid文件识别工具安装

看到可能是图片、ext文件系统镜像等。ext镜像文件可以挂载到linux上：

sudo mount attachment.img /mnt

我尝试了看了看这些图片，什么没发现。看别人的WP，是注意到蓝色文件夹：lost+found，可能是文件恢复：

• 文件恢复可以参考文章：文件恢复原理&&Linux文件恢复工具-foremost&extundelete

# 取消挂载
sudo umount /mnt

恢复文件准备：

# 安装文件恢复工具
sudo apt install extundelete
# 查看可恢复文件
sudo extundelete attachment.img --inode 2 # inode = 2即当前目录的索引节点的位置

看到被删除的文件，两种方式恢复：

# 恢复inode为18的文件：
sudo extundelete attachment.img --restore-inode 18
# 恢复文件名为.cat.jpg的文件：
sudo extundelete attachment.img --restore-file .cat.jpg

在同目录生成RECOVERED_FILES文件夹，发现被删除的文件，得到flag