15、人工智能时代的数字取证与基础Linux取证指南

人工智能时代的数字取证与基础Linux取证指南

网络挂载分区与文件恢复工具

挂载是从一个分区或操作系统到另一个分区或操作系统的访问点，它能实现文件和目录的共享与恢复。我们可以借助Windows 10和Kali Linux虚拟机，通过网络利用SMB协议挂载Windows分区，在Kali中进行探索。
- 在Windows 10虚拟机上共享分区 ：首先选择要共享的分区，例如分区C。右键点击该分区，依次选择“属性”“共享”“高级共享”，勾选“共享此文件夹”，接着进入“权限”，为所有人勾选“读取”的“允许”框，这样该分区就会以只读模式通过网络可用。
- 在Kali虚拟机上连接共享分区 ：导航到“文件”“其他位置”，在“连接到服务器”中输入地址“smb://192.168.159.151”，其中“smb”是主要用于在网络中提供对文件、打印机等网络实体共享访问的网络协议，后面的IP地址是共享驱动器/目录的机器的地址。随后会弹出登录窗口，输入与登录Windows 10虚拟机相同的凭据（用户账户：用户名“windows10”，密码“admin”），即可在Kali虚拟机上访问分区C的内容。

挂载文件和目录后，取证分析人员和调查人员可以使用多种工具来恢复删除的数据、遍历硬盘并提取原本无法恢复的文件。
- Foremost工具 ：这是Kali Linux发行版中包含的开源取证恢复工具。它利用文件头、文件尾和内部数据结构，从取证磁盘映像或物理驱动器中检索和提取数据。恢复文件是利用文件系统获取足够信息来定位和检索文件，而提取则是对原始数据进行操作，利用文件类型信息（如文件签名）来识别和