close

這兩天測試FinalData 3.0專業版的過程中,忽然想到了以前一直希望做的一件事,就是對比一下各個數據恢復軟件、法證工具的各自優勢。因此利用1GB的一個U盤作了一個測試, 保存了一些文件,在全部刪除,分別利用FinalData 3.0專業版和X-Ways Forensics 15.2進行恢復,看看那個軟件恢復的效果好。
不過,利用X-Ways Forensics和Finaldata比較,實在有些不夠公平。FinalData只是一個幾千元的民用小軟件,只是進行數據恢復的,而X-Ways Forensics是專業的法證軟件,法證功能強出不少。不過,好在這個測試只是對數據恢復功能的,別的功能暫不比較。等下次有時間,把 FinalForensics 3.0和X-Ways Forensics好好比較一下,再和Encase 6比較一下,看看其他方面的差別。
現在,看看我的測試結果吧。

1、在這個測試中,為了比較兩個軟件對刪除文件、刪除目錄的恢復效果,我在u盤中複製了幾個目錄和一些文件。其中包含有word文檔、excel文檔、 jpeg圖片、outlook express電子郵件等。同時為了比較對丟失文件的恢復功能,沒有全部擦除u盤,因此原來的盤中還包含一些圖片、視頻、寫字板文件。通過下圖,可以看到 Finaldata 3.0專業版找到的文件和原始的目錄結構。

2、同時利用Finaldata 3.0和X-Ways Forensics對該盤進行掃瞄,發現到丟失的目錄和文件。兩個軟件發現的目錄和文件完全相同。原始目錄名丟失,無法恢復,但目錄中的文件名稱均可正常 顯示。FinalData 能夠以原始圖標顯示各種文件,看上去效果比X-Ways Forensics好一些。

3、轉至另外一個丟失的目錄,即196936目錄,數據仍然一樣。


4、在本例中,Excel文件共有6份,兩個軟件全部成功恢復。



5、對於pdf文件恢復,FinalData恢復回5個文件,而X-Ways Forensics 恢復回6個。經查看,X-Ways Forensics多恢復的文件中,有一個文件無法察看。其餘文件均相同。



6、比較有意思的是對Word文件的恢復了。下面我們好好看一看。
通過下圖,我們可以看到X-Ways Forensics軟件正在預覽顯示一個Word文件,內容為案例文件說明。在X-ways Forensics中,這個文件沒有自己的文件名,是X-Ways 通過文件簽名從未分配空間搜索出來的,並自動給他分配的一個文件名。
而在FinalData 3.0中,這個內容相同的文件卻有一個中文的文件名。而這個文件也是從未分配空間搜索出來的,本身不應該具有文件名了。這是怎麼回事呢?難道 FinalData能夠從別的地方發現文件名?從文件名這點上,FinalData還是比較不錯的。

7、繼續看下一個word文件。FinalData同樣給另一個文件重新命名為JUJUMAO.doc。如果看看前面的Finaldata恢復的 excel文件,我們也可以發現Excel文件也都被重新命名了。進一步查看了一下這些文件的屬性信息,發現JUJUMAO是這個文件的作者,Ghost 也是文件的作者,而案例文件說明是文件屬性中的標題。原來FinalData可以根據文件屬性自動給文件命名,可以直觀地通過文件名知道恢復回文件的一些 信息。有助於區分文件。


8、下面的這個圖片就能夠說明問題了。察看FinalData 3.0的恢復結果,發現比X-Ways Forensics少了一個文件。這個u盤是我老師的,而且u盤以前被格式化過,這一篇文章被刪除了很久了。X-Ways Forensics通過文件簽名將他找了出來。但是FinalData沒有把它找出來。這可是FinalData的失誤了。通過扇區查了一下這個文件,文 件頭保存的很好,不應找不出來呀?

9、用Finaldata 將所有的doc文件全部列出來,總計33個。

10、而用X-Ways Fornesics將所有的doc文件列出來,總計26個。數量要比FinalData少。
對比發現,FinalData發現的文件數量雖然多,但是有重複。不知道是否同時存在文件的副本,FinalData將副本全部恢復回來了?

11、FinalData對於Office文件的破損率可以進行檢測,如果破損率低,可以在恢復同時進行格式修復。


12、FinalData專業版具有電子郵件恢復功能。通過啟動電子郵件恢復,可以將磁盤中的Outlook Express和Ms Outlook的郵件自動找回來。本例中,我直接選擇了其中的收件箱,並通過「恢複選定郵件」功能察看郵件。

13、FinalData自動把dbx郵箱打開,可以直接察看郵箱中的郵件。這個功能可真是不錯。幾千元的軟件具有這種功能可是非常不錯了。這都是上萬元的法證軟件才有的功能呀!Encase都不能這麼察看郵件吧。

14、可以更清楚地察看郵件內容和郵件原始內容。並以eml格式將文件保存出來。非常好的功能。


15、但是X-Ways Foensics沒有發現出u盤中的視頻文件,而FinalData卻將視頻文件找了出來。X-Ways 怎麼能夠出現這樣的失誤呢?


小結:

今天,通過這個測試,可以大致有如下結論:
1、兩個軟件在數據恢復功能方面,各有優勢,也各有不足。X-Ways Forensics 通過文件簽名方式多發現了一份Word文件,FinalData多發現了視頻文件。看來不能完全迷信某一個軟件,一定要配合使用。以後再多做一些測試,看看有沒有新的發現。

2、FinalData的操作簡單,基本不用學習,對於普通用戶更容易使用。而X-Ways Forensics要能夠熟練操作,達到上述結果,至少需要學習1天吧。

3、FinalData作為一個民用軟件,具有上述功能,還可以對電子郵件、數據庫、Index.dat上網紀錄進行察看,的確是超值。而X-Ways Forensics和其他法證工具也不具備對數據庫的分析處理和恢復功能。看來FinalData 3.0專業版值得計算機取證人士使用。

轉自計算機取證技術

arrow
arrow
    全站熱搜

    Recover 發表在 痞客邦 留言(0) 人氣()

    E-mail轉寄