数字取证实战：利用PhotoRec与Scalpel恢复被删除文件

Blue Team Labs Online (BTLO)：年度最佳员工挑战

通过从DD镜像恢复被删除文件并对数据进行数字取证来开展工作。

挑战描述与排名

该挑战的问题陈述如下：

John因在FakeCompany Ltd的辛勤工作而获得"年度最佳员工"奖项。不幸的是，今天John删除了一些重要文件（典型的John行为！）。您的任务是恢复被删除文件并获取其中包含的所有标志！

相关文件可从此处下载，解锁ZIP压缩包的密码为"btlo"。现在我们已获取挑战内容，让我们开始准备解决方案。

准备工作

从问题的标签可以推断，很可能需要使用PhotoRec和Scalpel工具来获取标志。

可通过以下命令下载和安装PhotoRec：

$ wget https://www.cgsecurity.org/testdisk-7.2-WIP.linux26-x86_64.tar.bz2
$ tar xjvf ./testdisk-7.2-WIP.linux26-x86_64.tar.bz2
$ rm ./testdisk-7.2-WIP.linux26-x86_64.tar.bz2

Scalpel也可通过终端下载安装（sudo apt install scalpel），但解决此挑战并不必须安装该工具。