Linux运行中文件删除后的恢复
在应急响应中,比如攻击者上传了一个挖矿软件A,运行A之后将A删除了,我们如何将这些文件恢复呢,本篇文件我们学习一下。
恢复被删除的运行中文件
这里我们随便写一个go程序,编译成可执行文件。
然后我们将程序后台运行
1 | nohup ./1 >/dev/null& |
这里我们记录一下1这个文件的MD5
然后我们删除1
恢复
首先我们先找到运行的pid进程号
这里我们发现进程pid为 2275518
然后我们使用
1 | sudo lsof|grep 2275518|grep deleted |
得到了我们被删除文件的具体信息。
然后我们移动路径到这个进程下面
1 | cd /proc/2275518 |
到这里我们就发现了被删除的文件了
我们尝试恢复一下,也就是复制出来。
1 | cp exe /home/ubuntu/gotest/recover1 |
然后我们计算一下recover1的md5
我们发现被删除的文件已经被恢复了。
TIPS
程序运行中还在打开的文件,即使删除了也可以使用上述方法进行恢复。