WP CTF-Misc 攻防世界 CSFJ1099 删库跑路-

「附件」

题目描述：
某星星在离职前给公司服务器来了一记rm -rf /*，真实演绎了什么叫"删库跑路"，老板把恢复数据的希望寄托在刚刚入职的你身上。你能帮助公司恢复出硬盘里的重要数据吗
Hint1：通常来说删除文件只是把磁盘上对应的空间标记为未使用状态，数据本身还是存在于原本的位置
Hint2：有一款强大的工具可以识别或提取常见二进制文件内的数据

附件是个压缩文件，解压后为：vm-106-disk-1.qcow2

「思路」

复制qcow2文件到kali，尝试分离文件：binwalk -e vm-106-disk-1.qcow2 --run-as=root

在分离出的8091000文件中，直接得到了flag

「工具」

• Kali Linux
• binwalk

「知识拓展」

qcow2文件

qcow2是qemu虚拟机中特别常用的镜像文件格式，QCOW即Qemu Copy-On-Write写时拷贝，后面的2即为版本，因为在qcow2出现之前还有qcow格式的镜像文件。从字面上理解，qcow/qcow2的文件组织形式应该是建立在Copy-On-Write这个基本的机制上，即当某个数据块被引用多次（两次或两次以上）时，若某个实例尝试写该数据块，为了不让其他实例看到该数据块的变化，就会将该数据块拷贝一份，然后将修改生效到拷贝的数据块上。这个机制和内存的Copy-On-Write的机制是基本一致的。

参考链接：
https://zhuanlan.zhihu.com/p/103358729

__EOF__

本文作者：stonechen
本文链接：https://www.cnblogs.com/stonechen/p/CSFJ1099.html
关于博主：评论和私信会在第一时间回复。或者直接私信我。
版权声明：本博客所有文章除特别声明外，均采用 BY-NC-SA 许可协议。转载请注明出处！
声援博主：如果您觉得文章对您有帮助，可以点击文章右下角【推荐】一下。您的鼓励是博主的最大动力！