|
PC-3000数据提取程序(Data Extractor)。在丢失引导的情况下重建NFTS分区 朋友们,您好, 你知道,我们生活在一个电脑可能感染恶意软件的世界里。最著名的例子是WannaCry,它感染了世界不同国家的许多计算机。然而,还有许多其他恶意软件在运行的系统和目标计算机上执行。
通常,恶意软件利用Microsoft Windows操作系统中的漏洞,在大多数情况下使用NTFS文件系统。因此,我们想举几个例子,数据提取程序(Data Extractor)可以恢复NTFS分区,这是恶意软件攻击的目标。 最初很少有关于NTFS文件系统结构的理论。您可以在此处读取基本详细信息。 在我们的案例中,MBR、GPT表、主NTFS引导和几个MFT记录被擦除。 然而,大多数NTFS分区和NTFS启动副本都可以安全地逃脱,并且可以像下面这样进行映像:
如果你是一个侦探或数据恢复专家,那么你知道你可以使用启动副本来获得关于整个分区的实际信息。该选项适用于这种案例,即“快速磁盘分析”,它搜索驱动器开始和结尾的文件系统结构,并尝试根据找到文件系统结构建立整个分区。 “快速磁盘分析”选项后的结果如下所示:
我们现在正在数据提取程序(Data Extractor)中使用虚拟分区。现在我们可以恢复分区的大部分文件。但如果你是一名侦探或恶意软件研究人员,那么你可能想调查另一个软件的恶意软件行为的证据。 在这个案例中,主要的问题是,如果没有数据提取程序(Data Extractor),您就无法打开恢复的NTFS分区(启动丢失)。PC-3000数据提取程序(Data Extractor)允许重建丢失的文件系统结构,您将能够调查其他软件恶意软件操作的证据。 在数据提取程序(Data Extractor)中有两种方法可以做到这一点: 1. 制作找到分区的镜像。右键单击资源管理器中的虚拟NTFS启动,然后选择“制作镜像”:
此方法扫描分区的所有条目:
最后,创建另一个虚拟分区,它是初始分区的镜像。 这种方法有优点也有缺点。主要的优点是可以在这个分区上获得所有可用的文件。缺点是您可以获取文件列表在文件系统上,而不是文件系统上(镜像不包括文件数据位图外的扇区数据),这可能是主要的缺点——它可能需要很多时间(只需意识到您想要制作大小为几个TB的RAID阵列文件系统的镜像)。 2) 第二种方法是为文件系统建立一个虚拟磁盘。这与数据提取程序(Data Extractor)中的虚拟机装载过程类似。您可以打开分区的数据位图:
我们得到了分区的数据位图,可以尝试验证主启动现在是否可用(它是从启动副本恢复的):
它在这里!!!注意扇区已修改后的说明。(所有修改都是使用数据副本执行的,您不会丢失恶意软件操作的证据)。 下一步是将分区的数据位图装入虚拟磁盘:
我们得到了固体磁盘。
我们现在可以将其安装在操作系统中或提取到另一个驱动器上进行进一步调查。 | 
发表于 2024-6-24 13:27:47
收藏