下载下来好像是个内存镜像，但是用volatility的得不到任何结果，那就用trid.exe识别一下： trid文件识别工具安装 看到可能是图片、ext文件系统镜像等。ext镜像文件可以挂载到linux上： sudo mount attachment.img /mnt 我尝试了看了看这些图片，什么没发现。看别人的WP，是注意到蓝色文件夹：lost+found，可能是文件恢复：