如何使用PC3000 Data Extractor识别EndPoint加密

2020年7月30日15:37:17 评论 309 616字阅读2分3秒
广告也精彩
必需的。 PC3000 Data Extractor 的优势之一是能够识别加密和解密证据,暴露数据以供调查,而无需更改其内容。如何使用PC3000 Data Extractor识别EndPoint加密

如果你曾经凝视着大量未分配的加密集群的,你就会知道,它并不总是显而易见的,你正在处理什么类型的加密。 在这种情况下,技术支持工程师可帮助您识别各种不同类型的加密。
大多数全磁盘加密产品都会修改主引导记录(MBR)或卷引导记录(VBR)以指向并执行其代码,以便允许解密数据。 有些产品可能完全取代这些。
在每种情况下,通常会添加与所使用的加密产品相关的标识符。
在我们的例子中,驱动器没有物理问题。 RAW恢复找不到任何文件,但扇区有数据。
当我们在Data Extractor中创建任务并打开文件树时,我们可以看到下图。

如何使用PC3000 Data Extractor识别EndPoint加密

NTFS引导被识别但我们无法打开文件结构。
对于可视化分析,打开分区的第一个扇区。

如何使用PC3000 Data Extractor识别EndPoint加密

该扇区的2048标在MBR为NTFS引导包含“垃圾”数据。

如何使用PC3000 Data Extractor识别EndPoint加密

63扇区(NTFS启动的其他可能位置)也有“垃圾”数据 .

如何使用PC3000 Data Extractor识别EndPoint加密

但是,如果我们回到62扇区,那么我们可以看到62扇区被零填充。

如何使用PC3000 Data Extractor识别EndPoint加密

这种情况的一个可能原因是加密,即具有数据的扇区的内容被修改,但具有零的扇区之一仍然是相同的。

要验证它是否使用MBR进入扇区0

如何使用PC3000 Data Extractor识别EndPoint加密

在扇区偏移 3 MBR, 产品标识符 “ H PGPGUARD” 可以被找寻到十六进制值 “EB 48 90 50 47 50 47 55 41 52 44“. Symantec PGP Whole disk Encryption这种模式是由赛门铁克PGP整盘加密软件的使用。

  • 工程师微信二维码
  • 微信扫一扫添加好友可直接咨询数据恢复相关问题
  • weinxin
  • 关注盘首微信小程序
  • 扫描微信小程序查看大量数据恢复技术视频教程
  • weinxin
  • 本文由 发表于 2020年7月30日15:37:17
  • 转载请注明:https://www.nxssd.com/5599.html
匿名

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: