强加密的使用日益普遍。大多数企业都知道,如果您有值得保护的东西,那么全磁盘和文件级加密是必要的。PC-3000数据提取程序(Data Extractor)的优势之一是能够识别加密和解密证据,在不改变其内容的情况下暴露数据以供调查。
如果你曾经仔细观察过许多加密的未分配集群,你就会知道,你处理的加密类型并不总是那么明显。在这种案例中,技术支持工程师帮助您识别各种不同类型的加密。
大多数全磁盘加密产品对主引导记录(MBR)或卷引导记录(VBR)进行修改,以指向并执行其代码,从而允许对数据进行解密。有些产品可能会完全取代这些产品。
在每种案例中,通常都会添加一个与所使用的加密产品相关的标识符。
在我们的案例驱动器没有物理问题。RAW恢复找不到任何文件,但扇区有数据。
当我们在数据提取程序(Data Extractor)中建立任务并打开文件目录树时,我们可以看到下图。
已识别NTFS启动,但无法打开文件结构。
为直观分析打开首先扇区的分区。
完整版可前往PC3000技术论坛查看!
