作者：Zgao

最近遇到的有系统被全盘（ext4）删除的案例，拿到了被删除的系统镜像，该文件系统受损程度是很大的，正好把Linux大部分的数据恢复工具都测评一遍，看看极端场景下的各类数据恢复工具的表现情况。

最近研究数据恢复，发现了新的trick。在攻防对抗中，由于主机上都会部署HIDS的agent，这就导致红队在目标主机上落地的任何文件都会被监控到。如果恶意的shellcode不经过文件系统直接落地磁盘，那是不是就可以绕过主机安全的查杀呢？

我们的 SIEM 发出警报，AV 阻止恶意软件在员工的机器上运行。为了进一步调查，事件响应团队迅速获取了该机器的图像。为了查明该恶意软件是如何进入机器的，他们的任务是找到攻击的入口点并追踪攻击者。

我们的朋友成了可疑破解工具的受害者。但似乎它没有走上正轨，所以调查一下它以找到任何证据。

一名前雇员似乎对前任老板心怀怨恨，行为可疑。我们寻求帮助以查明他们的意图或计划。

Windows 端点最近遭到入侵。得益于我们先进的 EDR/IDS 解决方案，我们立即注意到了这一点。警报已升级到第 2 级（事件响应者）以进行进一步调查。作为我们的取证人员，您已获得受感染主机的内存转储。您应该继续调查。

针对我们组织开展了有针对性的网络钓鱼活动，到目前为止，我们网络中的 3 个系统已打开了钓鱼邮件。我们从其中一个受感染的系统收集了快速分类图像，并将其提供给您，以识别攻击者正在使用的 TTP。识别攻击者使用的技术和策略，以便我们的事件响应团队能够响应并减轻网络上的任何进一步危害。

Dean 从非官方来源下载了破解的软件应用程序，随后发现他的个人数据已泄露。目前正在进行调查，以确定数据泄露的原因并减轻任何潜在损失。

证据： C:\Users\LetsDefend\Desktop\L34K.7z