NTFS分区打不开,未格式化,恢复软件展不开分析
发布时间:2021-02-03 17:29    浏览:    编辑:admin
你知道我们生活在PC可能感染恶意软件的世界。 最着名的例子是WannaCry,它感染了世界上不同国家的许多电脑。 但是,还有许多其他恶意软件蠕虫会在系统和目标计算机上运行。 
通常,恶意软件会利用Microsoft Windows操作系统中大多数情况下使用NTFS文件系统的漏洞。 因此,我们想举几个例子说明Data Extractor如何恢复作为恶意软件攻击目标的NTFS分区。
最初关于NTFS文件系统结构的理论很少。 你可以在这里阅读的基地细节。

在我们的例子中,MBR,GPT表,主NTFS启动和几个MFT记录被擦除。
但是,大多数NTFS分区和NTFS启动副本都没有受到伤害,可以像这样映像:
如果您是侦探或数据恢复专家,那么您知道可以使用引导副本获取有关整个分区的实际信息。 该选项适用于这种情况,即“快速磁盘分析”,它在驱动器的开始和结尾搜索文件系统结构,并尝试根据找到的文件系统结构构建整个分区。
“快速磁盘分析”选项的结果如下所示:
我们现在正在使用Data Extractor中的虚拟分区。 我们现在可以恢复分区的大部分文件。 但是,如果您是一名侦探或恶意软件研究人员,那么您可能需要调查其他软件的恶意软件操作证据。
在这种情况下,主要问题是无法在没有Data Extractor的情况下打开恢复的NTFS分区(引导丢失)。 PC-3000 Data Extractor允许重建丢失的文件系统结构,您将能够调查其他软件的恶意软件操作证据。
Data Extractor中有两种方法:
1.创建找到的分区的快照。 右键单击资源管理器中的虚拟NTFS启动并选择“创建快照”:
此方法扫描分区的所有条目:
最后,创建另一个虚拟分区,它是初始分区的快照。
这种方法有优点和缺点。 主要优点是您可以获得该分区上的所有可用文件。 缺点是你可以得到文件列表文件系统,而不是文件系统(快照不包括文件映射中的扇区数据),也可能是主要缺点 - 它可能需要很长时间(只是意识到你 想用几个TB大小制作RAID阵列文件系统的快照)。
2)第二种方法是为文件系统创建一个虚拟磁盘。 Data Extractor中的虚拟机安装过程与此类似。 你打开分区的地图:

我们得到了分区映射,并可以尝试验证主引导现在是否可用(它是从引导副本中恢复的):
 
它在这里!!! 请注意被修改的说明。 (所有修改都与数据副本一起执行,您不会失去恶意软件操作的证据)。
下一步是将分区映射安装到虚拟磁盘中:
我们得到坚实的磁盘。
我们可以将它安装在操作系统中,或者在另一个驱动器上提取以进一步调查。

微信客服

在线QQ客服

服务热线

029-86478250

24小时热线

029-86478250