使用丢失的引导重建NFTS分区—PC-3000数据提取器

  • 时间:1个月前
  • 浏览:184次

电脑中毒,恶意软件侵害,屡禁不止,已经不算太新鲜了,今天我们探讨探讨pc3000的解决方案!

使用丢失的引导重建NFTS分区—PC-3000数据提取器 技术文章 第1张

通常,恶意软件利用Microsoft Windows操作系统中的漏洞,在大多数情况下使用NTFS文件系统。因此,我们想举几个例子,Data Extractor如何恢复作为恶意软件攻击目标的NTFS分区。

最初关于NTFS文件系统结构的理论很少。

在我们的例子中,MBR,GPT表,主NTFS启动和几个MFT记录被删除。

但是,大多数NTFS分区和NTFS引导副本都没有受到损坏,可以像这样成像:

使用丢失的引导重建NFTS分区—PC-3000数据提取器 技术文章 第2张

如果您是侦探或数据恢复专家,那么您知道可以使用启动副本来获取有关整个分区的实际信息。该选项适用于这种情况是“快速磁盘分析”,它在驱动器的开头和结尾搜索文件系统结构,并尝试根据找到的文件系统结构构建整个分区。

快速磁盘分析”选项后的结果如下所示:

使用丢失的引导重建NFTS分区—PC-3000数据提取器 技术文章 第3张

我们现在正在使用Data Extractor中的虚拟分区。我们现在可以恢复分区的大多数文件。但如果您是侦探或恶意软件研究员,那么您可能希望调查其他软件的恶意软件操作证据。

在这种情况下,主要问题是您无法在没有Data Extractor的情况下打开恢复的NTFS分区(引导丢失)。PC-3000 Data Extractor允许重建丢失的文件系统结构,您将能够调查其他软件的恶意软件操作证据。

Data Extractor中有两种方法:

1.  创建找到的分区的快照。在资源管理器中右键单击虚拟NTFS启动,然后选择“生成快照”:

使用丢失的引导重建NFTS分区—PC-3000数据提取器 技术文章 第4张

此方法扫描分区的所有条目:

使用丢失的引导重建NFTS分区—PC-3000数据提取器 技术文章 第5张

最后,创建另一个虚拟分区,它是初始分区的快照。

该方法具有优点和缺点。主要优点是您可以获得此分区上的所有可用文件。缺点是你可以获得文件系统上的文件列表,而不是文件系统(快照不包括文件图中扇区的数据),也许是主要缺点 - 它可能需要很长时间(只是意识到你想要制作几个TB大小的RAID阵列文件系统的快照。

2)第二种方法是为文件系统创建一个虚拟磁盘。这是在Data Extractor中安装虚拟机的类似过程。你打开分区的地图:

使用丢失的引导重建NFTS分区—PC-3000数据提取器 技术文章 第6张

我们得到分区的地图,可以尝试验证主引导现在是否可用(它是从引导副本恢复的):

使用丢失的引导重建NFTS分区—PC-3000数据提取器 技术文章 第7张

它在这里!!!注意扇区被修改的注释。(所有修改均使用数据副本执行,您不会丢失恶意软件操作的证据)。

下一步是将分区映射挂载到虚拟磁盘:

使用丢失的引导重建NFTS分区—PC-3000数据提取器 技术文章 第8张

我们得到了坚实的磁盘。

使用丢失的引导重建NFTS分区—PC-3000数据提取器 技术文章 第9张

我们可以将它安装在操作系统中或在另一个驱动器上提取以进行进一步调查。

留言反馈

|豫ICP备19020749号-2|© 2016-现在 Huiyudata.com 版权所有