前2天幫一個大連的朋友做了一個恢復,情況比較典型。 他的客戶的硬盤,80G,大概對半分的,2個ntfs分區,第2個分區突然變成了raw格式。大連的哥們拿到硬盤後,先是finaldata,不 行,easyrecovery,也不行。最後沒有辦法用的是easyrecovery的raw格式。做出了照片,但是都沒有目錄和名稱,並且錄像的視頻文 件只有幾個。 對於一般的分區變成raw格式的,軟件是基本上做不出來。很多人認為easyrecovery的raw格式是專門做這種情況的,這個認為是完全錯誤 的。其實,easy的raw格式是非常少用到的,基本上是在絕望的時候才用。原因有幾點,一是出來的數據根本沒有目錄和名稱,能接受這樣恢復結果的客戶很 少。二是很多特出格式無法用raw格式做,雖然可以定義格式但是太過複雜。 傳了個遠控程序和diskedit過去,遠程連接上,用diskedit看了一下他的分區情況,0扇沒有什麼問題,分的是2個主dos,所以沒有擴 展分區表。直接跳到第2個分區的信息表位置。發現上一扇是第1個分區的信息表備份。那這個扇區應該就是第2個分區的信息表了,不過全部變成了f6。直接跳 到最後一扇,運氣比較好,有一個信息表,把這個扇區直接覆蓋到f6那個扇區。在硬件設備中將硬盤卸載重新加載,數據沒有直接出現。說明,不光的信息表的問 題,後面還有問題。這個時候用easyrecovery掃就能看到第2個分區是ntfs的了,20分鐘後,目錄是出來了,照片也ok,但是還是沒有錄像。 很奇怪啊,懷疑是easyrecovery重組能力的問題。因為手動改了第2個分區的信息表,強製成了ntfs,所以又傳了一個getdataback過 去,能拿到ntfs的信息就好辦些,直接掃,20分鐘,列完目錄後發現多了個p的目錄,照片,錄像,全ok啦,一個不少。整個遠程恢復,1小時左右。 在數據恢復中有一點大家很容易誤解,就是很多人任務數據恢復是依靠軟件。我負責任的說軟件只能做5%左右的情況,由於情況的複雜性,很多情況都做不了。有這樣錯誤認識的人主要是不會手動寫分區表這些基礎,沒有人教,很難入門,所以也就只能折騰折騰軟件。 軟件有很多情況下,根本掃瞄不到任何東西,讓你無從下手。所以建議大家還是要從分區結構,分區表,信息表,規則,算法,聯繫等等方面入手學習。
轉自http://gaoshuang78.blog.sohu.com/
Recover 發表在 痞客邦 留言(0) 人氣(428)
因為最近很多網友在問如何學數據恢復,從哪裡學起等等問題?所以準備先寫一些入門的知識,包括尋址的介紹,如何讀懂mbr,還會寫一些現在對數據恢復認識的誤區。請大家等等吧。 網友的留言:(不過不知道他從哪找到我手機號的,奇怪) 大俠求救!
我的硬盤之前是分區表錯誤,導致,C盤D盤可以用,兩個盤都是分5G,E盤F盤,E大概是30G吧,F盤就是剩下的。用 GHOST恢復系統後,發現E盤有盤符在,但是打開說要格式化,F盤是自由空間,沒有分區。之後我就重建分區表,結果只剩下一個C盤,其他盤都變為自由空 間,之後我就重新按之前大概大小分區,D盤5G,E盤30G,F盤剩下的。我的硬盤是80G的。然後還格式化了。數據都沒了,不知怎麼找回,請大哥幫幫 忙,教教我怎麼恢複數據,我現在不敢往盤裡寫數據。急求大哥幫忙,萬分感謝! 加上他qq後,問了具體情況,基本上和他說的差不多。遠程連接過去,用diskedit看他的前63扇,看看有沒有殘留的信息,發現10、11、 23、61扇都有分區表,但是算完了,再到指定的扇,發現都沒有什麼用。61扇如果是就好了,因為wyx病毒會在這裡做一個分區表的備份。可是算完了,還 是不對。這說明他做的幾次操作影響的比較大。然後再用finaldata掃瞄物理硬盤,只找到他最後分的4個區,這個信息沒有用。再用diskedit把 0扇的55aa破壞,排除最後分區的干擾。再用finaldata掃瞄,還是4個區。這說明他後分區非常接近。 再用gatdataback進行逐扇區的掃瞄分區表殘留信息,其實finaldata也可以做,但是我覺得比較慢。從gatdataback返回的 多個信息中,一個一個排除錯誤的信息,最後確定20986623和83916063是對的。用diskedit跳到扇區一看,的確是dbr的信息,再用 finaldata定位,確定是以前e和f的數據。這就ok啦。 開始手動16進制寫0扇的第3和第4行,並且直接指向相應分區的dbr。第3行前12個字節寫成:00 00 00 00 07 fe ff ff ff 3a 40 01,後四個字節從20986623dbr的位置複製就行了。第4行前12個字節寫成:00 00 00 00 07 fe ff ff 1f 75 00 05,後四個字節從83916063dbr的位置複製就行了。其實如果e的邏輯分區表還在的話,可以直接寫一行,按照擴展分區的寫法,指向e的分區表,讓 他自動鏈出f來也可以。 最後,備份0扇的第2行現有的擴展信息到1扇,並且把0扇第2行刪除,以免影響手動寫的分區表信息。 在系統設備裡面刪除硬盤再加載,數據全部恢復。
轉自http://gaoshuang78.blog.sohu.com/
Recover 發表在 痞客邦 留言(0) 人氣(123)
FinalForensics的操作大家還沒有看到過。做了一個簡單的測試視頻,給大家看看,瞭解一下。
在見過的所有分析工具中,FinalForensics是Spirte認為最為簡單的,幾乎不用任何的培訓,拿過來就可以使用。而且數據分類的效果、中文 支持非常好,各種常用的數據都已經按照預定的分類歸納好了。這種方式和以前的ftk早期版本很像,也是很多人喜歡的方式。分析看來,將來對於普通需求,要 求技能不高的部門非常適合。終究30分鐘培訓估計就足夠了,而且分析結果非常直觀。
FinalForensics總結歸納了各種常規數據的類型,分別使用預覽、快速掃瞄、精細級掃瞄、簽名級掃瞄四種方式,根據不同需求、分不同層次對數據進行處理。
預覽方式下,不對數據進行分類,直接將數據導入案件中;
快速掃瞄,根據文件擴展名進行分類統計;
精細級掃瞄刪除的數據,判斷文件真實類型
簽名級掃瞄將從未分配空間中依據文件簽名挖掘各類文件。
個人認為,日常數據分析也無外乎這幾種情況了,自己可以結合自身需求選擇精細掃瞄程度和恢復的效果。
應該算是一個很好的工具。
轉自
計算機取證技術Recover 發表在 痞客邦 留言(0) 人氣(327)
本測試中,Sprite利用的是Whinex 15.2(法證版)對前面FAT32 DD鏡像中的刪除數據進行恢復。題目中的15個文件均成功被恢復出來,而且操作非常簡單。但恢覆文件中有3個文件的MD5值與原作者提供的MD5值不匹 配。分析原因為通過文件簽名搜索回的數據大小出現稍微的偏差,造成對文件MD5值計算出現了不同結果。視頻最後部分,Sprite將不同的md5簽名文件 標示了出來,供參考。
通過,通過觀看Sprite的操作,大家可以看到利用Winhex法證版/X-Ways Forensics對dd鏡像操作的基本過程。這個過程非常簡單,由此可以理解為什麼說X-Ways Forensics是一個操作簡單,功能強大的工具了。
轉自
計算機取證技術Recover 發表在 痞客邦 留言(0) 人氣(1,789)
Recover 發表在 痞客邦 留言(0) 人氣(1,349)
Recover 發表在 痞客邦 留言(0) 人氣(1,378)
Recover 發表在 痞客邦 留言(0) 人氣(1,559)
數據恢復技術中很多是經驗,基礎的知識很重要,不過要融入到你的分析當中去。
今天一個朋友的硬盤數據丟了,原因是他覺得系統比較慢,就讓手下的技術的技術幫他重新做一下系統,結果拿回來一看,這技術幫他重新分區了,以前e盤的數據全沒拉。(當然,都重新分區了,數據還能有?)
分 析設備:80G筆記本硬盤,ide口的。以前的分區情況大概是4個區,c,d,e,f。數據都放在了e區。以前分區大小大概是10G,15G,30G,剩 下。重新分區後一樣是4個區,大小大概是15G,20G,20G,剩下。重新分區後c裝了個系統,d上面拷貝了有些工具軟件,8G左右,ntfs格式的。
分析思路:這種情況比較常見,情況一般,不是很嚴重(如果分區大小和以前一樣,就比較嚴重,恢復起來比較麻煩)。其實,這個情況可以看 成,就是在以前的4個分區表中,又插了3個分區表,主分區表覆蓋了而已。找到以前e區大概在25G左右的分區表,進行計算,然後寫到現在主分區表的第3個 位置行就可以了。不過也要看看那8G左右的工具軟件是否會給數據帶來影響,因為其存放的位置困難在15G到35G之間,而以前的e區是在25G-55G之 間。
恢復過程:用finaldata掃瞄整個硬盤,會出現7個信息表,找到25G的那個,看他的扇區位置。注意,這裡看的是信息表的 位置,也叫boot區,不是邏輯分區表。用diskedit找到25g左右的那個信息表,看一下是否正常。確定e的格式,把這個扇區位置和容量進行10進 制到16進制的換算。然後寫到0扇的第3信息行中。重新加載硬盤,就會看到多出一個30G的分區,裡面的數據直接拷貝就可以了。
恢復結果:數據完全恢復。
總 結:這種情況比較多,也類似於ghost的誤操作造成的數據丟失。這種方法是恢複數據最快的。(有些人會說,用finaldata或者 easyrecovery也可以恢復。但是,軟件只能恢復5%左右的情況,這種情況算很規律的情況了,複雜的就不行了。而且你要來回拷貝也需要很長時間。 寫分區表到恢複數據,我用了2分鐘不到。)
其他:案例之中有看不懂的術語,和不明白如何進行計算的,不用急,因為你還不會數據恢復的基礎,很大知識不知道。這是案例部分,會逐漸更新,其中涉及到的基礎知識,也會單獨的更新的。別著急,慢慢看。
轉自http://gaoshuang78.blog.sohu.com/
Recover 發表在 痞客邦 留言(0) 人氣(242)
這是Nick Mikus製作的一個案例文件。本測試鏡像包含 FAT32 文件系統,用於測試各種數據恢復工具恢復各種文件格式的能力。鏡像中包含一些未分配空間中的文件和幾個刪除的文件。其中一個jpeg文件的文件頭部簽名被 修改過。所有文件都是隨意製作的,鏡像是利用一個usb閃存盤,並通過mkfs.vfat程序擦除國。閃存的FAT 引導扇區是破損的,因此不能被壓載,必須利用數據恢復工具才能找回文件。 鏡像是 FAT32 文件系統,容量 62MB ,壓縮為11MB。MD5 值: 0069813c892a462f88dc6d376624f7d9.
下載文件說明 | No | 文件名 | MD5 | 大小 | 註釋 | 扇區 |
| 1 | 2003_document.doc | e72f388b36f9370f19696b164c308482 | 19968 | 正確的 DOC
| (0-38) 281 -320 |
| 2 | enterprise.wav | 7629b89adade055f6783dc1773274215 | 318895 | 正確的 WAV
| (0-622) 16021 -16644 |
| 3 | haxor2.jpg | 84e1dceac2eb127fef5bfdcb0eae324b | 24367 | 錯誤的JPEG 文件,文件頭1字節錯誤。此字節在偏移地址19 | (0-47)16645 -16692 |
| 4 | holly.xls | 7917baf0219645afef8b381570c41211 | 23040 | 正確的 XLS
| (0-44) 16693-16738 |
| 5 | lin_1.2.pdf | e026ec863410725ba1f5765a1874800d | 1399508 | 標準的 PDF | (0-2733) 16741 -19475 |
| 6 | nlin_14.pdf | 5b3e806e8c9c06a475cd45bf821af709 | 122434 | 一個非標準的PDF ---------------------
| (0-239) 19477 -19716 |
| 7 | paul.jpg | 37a49f97ed279832cd4f7bd002c826a2 | 29885 | 正確的jpeg圖片 | (0-58) 19717 -19776 |
| 8 | pumpkin.jpg | 6c9859e5121ff54d5d6298f65f0bf3b3 | 444314 | 正確的 EXIF 圖片 | (0-867) 19777-20644 |
| 9 | shark.jpg | d83428b8742a075b57b0dc424cd297c4 | 99298 | 正確的JPEG | (0-193) 20645-20839 |
| 10 | sm1.gif | d25fb845e6a41395adaed8bd14db7bf2 | 5498 | 正確的GIF | (0-10) 20841-20852 |
| 11 | surf.mov | 5328d2b066f428ea95b2793849ab97fa | 550653 | 正確的 MOV | (0-1075) 20853-21928 |
| 12 | surf.wmv | ff085d0c4d0e0fdc8f3427db68e26266 | 1036994 | 正確的 WMV | (0-2025) 21929-23955 |
| 13 | test.ppt | 7b74c2c608d92f4bb76c1d3b6bd1decc | 11264 | 刪除的 PPT | (0-21) 23957 -23978 |
| 14 | wword60t.zip | c0be59d49b7ee0fdc492d2df32f2c6c6 | 78899 | 正確的 ZIP | (0-154) 23981 -24135 |
| 15 | domopers.wmv | 63c0c6986cf0a446cb54b0ac65a921a5 | 8037267 | 刪除的wmv | (0-15697) 321-16018 |
轉自
計算機取證技術Recover 發表在 痞客邦 留言(0) 人氣(159)
電腦取證工具測試專用映像檔
DD檔為NTFS檔案格式,共有 10 個JPEG 圖片。這些圖片有的是更改了文件附檔名的圖片、有的是嵌入在Word、zip壓縮文件中的圖片,以及可能包含在數據流中。
映像檔的MD5值為 8d322b5bf5df79e75d1c9a16b6ee4da6。
下載 以下為圖片案例說明,用於對比測試結果。
| NO. | 名稱 | 註釋 |
| 1 | alloc\file1.jpg | 標準JPEG附檔名文件 |
| 2 | alloc\file2.dat | JPEG圖片,但附檔名改變 |
| 3 | invalid\file3.jpg | 非JPEG文件,但附檔名為JEG |
| 4 | invalid\file4.jpg | 一個隨機文件,但前兩個字節為 0xffd8 ,即JPEG 文件簽名。沒有其他簽名特徵和文件尾簽名 |
| 5 | invalid\file5.rtf | 一個隨機文件,但文件中包含多處 0xffd8 簽名值 |
| 6 | del1\file6.jpg - MFT | 刪除的JPEG 文件,附檔名為JPG |
| 7 | del2\file7.hmm - MFT | 刪除的JPEG 文件,附檔名改變 |
| 8 | archive\file8.zip | 一個標準 ZIP 文件,內含名為 file8.jpg的JPEG圖片 |
|
| file8.jpg | 包含在上述ZIP文件中的圖片 |
| 9 | archive\file9.boo | 改變附檔名的ZIP文件,包含名為file9.jpg 的圖片 |
|
| file9.jpg | 包含在上述更改附檔名的ZIP文件中的圖片 |
| 10 | archive\file10.tar | tar格式壓縮文件,包含名為file10.jpg 的圖片 |
|
| file10.jpg | 包含在上述GZ文件中的圖片 |
| 11 | misc\file11.dat | 包含1572 字節的隨機數據文件,附加了一個JPEG 圖片。這是使用COPY.EXE命令 '+' 選項製作的。 |
| 12 | misc\file12.doc | 包含JPEG 圖片的WORD文件 |
| 13 | misc\wuaueng1.dll’here | 在ADS數據流中的數據文件 |
註:本測試案例中,有些普通工具可能無法發現8, 9, 10, 11, 12 幾個圖片。
案例由計算機取證技術 修改而來大家可以玩玩看~
Recover 發表在 痞客邦 留言(0) 人氣(94)