如何使用PC-3000 Data Extractor识别赛门铁克PGP EndPoint加密磁盘

使用强加密技术日渐变得越来越普遍。 如果您有值得保护的东西,大多数企业都知道全盘和文件级加密是必需的。 PC-3000 Data Extractor 的优势之一是能够识别加密和解密证据,暴露数据以供调查,而无需更改其内容。

如何使用pc-3000-data-extractor识别endpoint加密磁盘 如何使用PC-3000 Data Extractor识别赛门铁克PGP EndPoint加密磁盘

如果你曾经凝视着大量未分配的加密集群的,你就会知道,它并不总是显而易见的,你正在处理什么类型的加密。 在这种情况下,技术支持工程师可帮助您识别各种不同类型的加密。
大多数全磁盘加密产品都会修改主引导记录(MBR)或卷引导记录(VBR)以指向并执行其代码,以便允许解密数据。 有些产品可能完全取代这些。
在每种情况下,通常会添加与所使用的加密产品相关的标识符。
在我们的例子中,驱动器没有物理问题。 RAW恢复找不到任何文件,但扇区有数据。
当我们在Data Extractor中创建任务并打开文件树时,我们可以看到下图。

如何使用pc-3000-data-extractor识别endpoint加密磁盘 如何使用PC-3000 Data Extractor识别赛门铁克PGP EndPoint加密磁盘

NTFS引导被识别但我们无法打开文件结构。
对于可视化分析,打开分区的第一个扇区。

如何使用pc-3000-data-extractor识别endpoint加密磁盘 如何使用PC-3000 Data Extractor识别赛门铁克PGP EndPoint加密磁盘

该扇区的2048标在MBR为NTFS引导包含“垃圾”数据。

如何使用pc-3000-data-extractor识别endpoint加密磁盘 如何使用PC-3000 Data Extractor识别赛门铁克PGP EndPoint加密磁盘

63扇区(NTFS启动的其他可能位置)也有“垃圾”数据 .

如何使用pc-3000-data-extractor识别endpoint加密磁盘 如何使用PC-3000 Data Extractor识别赛门铁克PGP EndPoint加密磁盘

但是,如果我们回到62扇区,那么我们可以看到62扇区被零填充。

如何使用pc-3000-data-extractor识别endpoint加密磁盘 如何使用PC-3000 Data Extractor识别赛门铁克PGP EndPoint加密磁盘

这种情况的一个可能原因是加密,即具有数据的扇区的内容被修改,但具有零的扇区之一仍然是相同的。

要验证它是否使用MBR进入扇区0

如何使用pc-3000-data-extractor识别endpoint加密磁盘 如何使用PC-3000 Data Extractor识别赛门铁克PGP EndPoint加密磁盘

在扇区偏移 3 MBR, 产品标识符 H PGPGUARD可以被找寻到十六进制值EB 48 90 50 47 50 47 55 41 52 44“. Symantec PGP Whole disk Encryption这种模式是由赛门铁克PGP整盘加密软件的使用。

未经允许不得转载:苏州盘首数据恢复 » 如何使用PC-3000 Data Extractor识别赛门铁克PGP EndPoint加密磁盘

赞 (8) 打赏

评论 0

评论前必须登录!

登陆 注册

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏

7X24H数据恢复热线