数据恢复问题可微信咨询

使用PC-3000 Data Extractor恢复丢失的引导重建NTFS分区

你好朋友,
您知道我们生活在PC可能感染恶意软件的世界中。 最着名的例子是WannaCry,它感染了世界不同国家的许多计算机。 但是,还有许多其他恶意软件蠕虫在系统和目标计算机上运行。

 

通常,恶意软件利用Microsoft Windows操作系统中的漏洞,在大多数情况下使用NTFS文件系统。 因此,我们想举几个例子,Data Extractor如何恢复作为恶意软件攻击目标的NTFS分区。
最初关于NTFS文件系统结构的理论很少。 你可以在这里阅读基本细节。
在我们的例子中,MBR,GPT表,主NTFS启动和几个MFT记录被删除。
但是,大多数NTFS分区和NTFS引导副本都没有受到损坏,可以像这样成像:

 

如果你是取证或数据恢复专家,那么你知道你可以使用引导拷贝来获得关于整个分区的实际信息。该选项适用于“快速磁盘分析”,它在驱动器的开头和结尾搜索文件系统结构,并试图根据找到的文件系统结构构建整个分区。
“快速磁盘分析”选项后的结果如下:

 

我们现在正在使用Data Extractor中的虚拟分区。 我们现在可以恢复分区的大多数文件。 但如果您是侦探或恶意软件研究员,那么您可能希望调查其他软件的恶意软件操作证据。
在这种情况下,主要问题是您无法在没有Data Extractor的情况下打开恢复的NTFS分区(引导丢失)。 PC-3000 Data Extractor允许重建丢失的文件系统结构,您将能够调查其他软件的恶意软件操作证据。
Data Extractor中有两种方法:

  1. 创建找到的分区的快照。 右键单击资源管理器中的虚拟NTFS启动,然后选择“制作快照”:

此方法扫描分区的所有条目:

最后,创建另一个虚拟分区,它是初始分区的快照。
该方法具有优点和缺点。 主要优点是您可以获得此分区上的所有可用文件。 缺点是你可以获得文件系统上的文件列表,而不是文件系统(快照不包括文件图中的扇区数据),也许是主要的缺点 – 它可能需要很长时间(只是意识到你 想要制作几个TB大小的RAID阵列文件系统的快照。
2)第二种方法是为文件系统创建一个虚拟磁盘。 这与Data Extractor中的虚拟机安装类似。 你打开分区的位图:

 

我们得到分区的位图,可以尝试验证主引导现在是否可用(它是从引导副本恢复的):

它在这里!!! 注意扇区被修改的注释。 (所有修改均使用数据副本执行,您不会丢失恶意软件操作的证据)。
下一步是将分区映射挂载到虚拟磁盘:

 

我们得到了坚实的磁盘。

我们可以将它安装在操作系统中,或者在另一个驱动器上提取以进行进一步调查。

未经允许不得转载:苏州盘首数据恢复 » 使用PC-3000 Data Extractor恢复丢失的引导重建NTFS分区

7X24H数据恢复热线