本帖最后由 JDCTS5 于 2024-6-26 13:25 编辑
PC-3000数据提取程序(Data Extractor)。如何使用数据提取程序(Data Extractor)识别端点加密 强加密的使用日益普遍。大多数企业都知道,如果您有值得保护的东西,那么全磁盘和文件级加密是必要的。PC-3000数据提取程序(Data Extractor)的优势之一是能够识别加密和解密证据,在不改变其内容的情况下暴露数据以供调查。
如果你曾经仔细观察过许多加密的未分配集群,你就会知道,你处理的加密类型并不总是那么明显。在这种案例中,咨询台中心的ACE技术支持工程师帮助您识别各种不同类型的加密。 大多数全磁盘加密产品对主引导记录(MBR)或卷引导记录(VBR)进行修改,以指向并执行其代码,从而允许对数据进行解密。有些产品可能会完全取代这些产品。 在每种案例中,通常都会添加一个与所使用的加密产品相关的标识符。 在我们的案例驱动器没有物理问题。RAW恢复找不到任何文件,但扇区有数据。 当我们在数据提取程序(Data Extractor)中建立任务并打开文件目录树时,我们可以看到下图。
已识别NTFS启动,但无法打开文件结构。 为直观分析打开首先扇区的分区。
在MBR中标记为NTFS引导的扇区2048包含“转储”数据。
扇区63(NTFS启动的其他可能位置)也有“转储”数据。
然而,如果我们回到扇区62,那么我们可以看到扇区62被零填充。
这种情况的一个可能原因是加密,即带有数据的扇区的内容被修改后,但带有零的扇区之一仍然相同。 若要验证它,请使用MBR转到扇区0。
在扇区偏移量3 MBR处,可以发现.产品标识符“H PGPGUARD”。十六进制值“EB 48 90 50 47 47 55 41 52 44”。此模式由Symantec PGP全磁盘加密软件使用。 我们希望您觉得这份参考资料列表很有帮助,并欢迎您在下面提出意见、问题或建议。 | 
发表于 2024-6-26 13:20:02
收藏