PC-3000数据提取程序(Data Extractor)。如何使用数据提取程序(Data Extractor)识别端点加密
强加密的使用日益普遍。大多数企业都知道,如果您有值得保护的东西,那么全磁盘和文件级加密是必要的。PC-3000数据提取程序(Data Extractor)的优势之一是能够识别加密和解密证据,在不改变其内容的情况下暴露数据以供调查。
如果你曾经仔细观察过许多加密的未分配集群,你就会知道,你处理的加密类型并不总是那么明显。在这种案例中,咨询台中心的ACE技术支持工程师帮助您识别各种不同类型的加密。
大多数全磁盘加密产品对主引导记录(MBR)或卷引导记录(VBR)进行修改,以指向并执行其代码,从而允许对数据进行解密。有些产品可能会完全取代这些产品。
在每种案例中,通常都会添加一个与所使用的加密产品相关的标识符。
在我们的案例驱动器没有物理问题。RAW恢复找不到任何文件,但扇区有数据。
当我们在数据提取程序(Data Extractor)中建立任务并打开文件目录树时,我们可以看到下图。
已识别NTFS启动,但无法打开文件结构。
为直观分析打开首先扇区的分区。
在MBR中标记为NTFS引导的扇区2048包含“转储”数据。
扇区63(NTFS启动的其他可能位置)也有“转储”数据。
然而,如果我们回到扇区62,那么我们可以看到扇区62被零填充。
这种情况的一个可能原因是加密,即带有数据的扇区的内容被修改后,但带有零的扇区之一仍然相同。
若要验证它,请使用MBR转到扇区0。
在扇区偏移量3 MBR处,可以发现.产品标识符“H PGPGUARD”。十六进制值“EB 48 90 50 47 47 55 41 52 44”。此模式由Symantec PGP全磁盘加密软件使用。
我们希望您觉得这份参考资料列表很有帮助,并欢迎您在下面提出意见、问题或建议。
附件: 7.jpg (2024-6-26 13:20:18, 270.12 KB) / 下载次数 73附件: 6.jpg (2024-6-26 13:20:18, 258.33 KB) / 下载次数 81附件: 5.jpg (2024-6-26 13:20:18, 266.61 KB) / 下载次数 69附件: 4.jpg (2024-6-26 13:20:17, 282.65 KB) / 下载次数 84附件: 3.jpg (2024-6-26 13:20:17, 96.19 KB) / 下载次数 68附件: 2.jpg (2024-6-26 13:20:17, 45.51 KB) / 下载次数 85附件: 1.jpg (2024-6-26 13:20:17, 25.77 KB) / 下载次数 75| 欢迎光临 PC3000 军达成数据恢复论坛 (http://www.jundacheng.com/bbs/) | Powered by Discuz! X2 |