你好朋友,
您知道我们生活在PC可能感染恶意软件的世界中。 最着名的例子是WannaCry,它感染了世界不同国家的许多计算机。 但是,还有许多其他恶意软件蠕虫在系统和目标计算机上运行。
通常,恶意软件利用Microsoft Windows操作系统中的漏洞,在大多数情况下使用NTFS文件系统。 因此,我们想举几个例子,Data Extractor如何恢复作为恶意软件攻击目标的NTFS分区。
最初关于NTFS文件系统结构的理论很少。 你可以在这里阅读基本细节。
在我们的例子中,MBR,GPT表,主NTFS启动和几个MFT记录被删除。
但是,大多数NTFS分区和NTFS引导副本都没有受到损坏,可以像这样成像:
如果你是取证或数据恢复专家,那么你知道你可以使用引导拷贝来获得关于整个分区的实际信息。该选项适用于“快速磁盘分析”,它在驱动器的开头和结尾搜索文件系统结构,并试图根据找到的文件系统结构构建整个分区。
“快速磁盘分析”选项后的结果如下:
我们现在正在使用Data Extractor中的虚拟分区。 我们现在可以恢复分区的大多数文件。 但如果您是侦探或恶意软件研究员,那么您可能希望调查其他软件的恶意软件操作证据。
在这种情况下,主要问题是您无法在没有Data Extractor的情况下打开恢复的NTFS分区(引导丢失)。 PC-3000 Data Extractor允许重建丢失的文件系统结构,您将能够调查其他软件的恶意软件操作证据。
Data Extractor中有两种方法:
- 创建找到的分区的快照。 右键单击资源管理器中的虚拟NTFS启动,然后选择“制作快照”:
此方法扫描分区的所有条目:
最后,创建另一个虚拟分区,它是初始分区的快照。
该方法具有优点和缺点。 主要优点是您可以获得此分区上的所有可用文件。 缺点是你可以获得文件系统上的文件列表,而不是文件系统(快照不包括文件图中的扇区数据),也许是主要的缺点 – 它可能需要很长时间(只是意识到你 想要制作几个TB大小的RAID阵列文件系统的快照。
2)第二种方法是为文件系统创建一个虚拟磁盘。 这与Data Extractor中的虚拟机安装类似。 你打开分区的位图:
我们得到分区的位图,可以尝试验证主引导现在是否可用(它是从引导副本恢复的):
它在这里!!! 注意扇区被修改的注释。 (所有修改均使用数据副本执行,您不会丢失恶意软件操作的证据)。
下一步是将分区映射挂载到虚拟磁盘:
我们得到了坚实的磁盘。
我们可以将它安装在操作系统中,或者在另一个驱动器上提取以进行进一步调查。
未经允许不得转载:苏州盘首数据恢复 » 使用PC-3000 Data Extractor恢复丢失的引导重建NTFS分区