Избегайте удаления поврежденных / частично перезаписанных файлов

286
Tomasz Klim

Недавно я имел дело с некоторыми компьютерами, зараженными вымогателями, с зашифрованными пользовательскими файлами. Моя работа заключалась в том, чтобы либо расшифровать эти файлы (если это возможно), либо восстановить как можно больше используемых файлов. Это включало также удаление файлов из образов разделов NTFS.

Конечно, я уже знал инструменты "foremost" и "ntfsundelete", и раньше я использовал их для других задач. Однако сейчас у меня есть проблема с ними.

Проблема заключается в том, что оба эти инструмента пытаются восстановить все возможные файлы, включая те, которые уже перезаписаны (частично или полностью). Такое поведение, вероятно, очень полезно в лаборатории судебной экспертизы, где даже небольшие части изображений / фильмов / документов могут рассматриваться как доказательства. Однако в моем случае использования мои клиенты заинтересованы в том, чтобы вернуть только полностью восстановленные файлы, и у них нет времени, чтобы выбрать их среди тысяч поврежденных.

(Я также знаю, что ntfsundelete имеет ключ -p, но во многих случаях он работает недостаточно).

Итак, мой вопрос: каков наиболее эффективный по времени способ автоматического восстановления удаленных файлов из разделов NTFS, избегая восстановления поврежденных / перезаписанных файлов?

0
Этот вопрос, кажется, касается восстановления файлов, а не infosec. Тот факт, что проблема возникла из-за вируса-вымогателя, не имеет отношения к тому, о чем спрашивают. Я голосую за перенос этого вопроса в SuperUser. Neil Smithline 7 лет назад 2
«Какой метод самый лучший» - основано на мнении. Пожалуйста, переформулируйте свой вопрос, чтобы он оставался открытым. DavidPostill 7 лет назад 0
Существует множество инструментов для восстановления файлов из NTFS, некоторые из них будут оценивать файлы в соответствии с их «восстанавливаемостью», например, «отлично» для файлов, которые не были перезаписаны, и несколько меньше для файлов, которые могут быть повреждены. Вы можете просто пометить все с «отличным» рейтингом и восстановить только те. Вам нужно будет найти программу, которая имеет эту функциональность. 7 лет назад 0
ntfsundelete имеет эту функцию. Проблема заключается в том, что во многих случаях происходит сбой, поскольку он основан только на индексах NTFS, а не на реальной проверке восстановленных данных. Несколько лет назад я пытался восстановить некоторые данные с SD-карты с помощью некоторого программного обеспечения для Windows, созданного специально для восстановления фотографий, и на нем отображались эскизы восстановленных фотографий для ручной проверки - так что проверка в реальном времени возможна. Теперь мне нужно похожее программное обеспечение, которое можно было бы создавать с помощью сценариев и которое позволяло бы эффективно выполнять массовое восстановление (диск за диском, сразу всю структуру каталогов). Tomasz Klim 7 лет назад 0

0 ответов на вопрос

Похожие вопросы