|
|
Регистрация | Правила форума | FAQ форума | Справка | Пользователи | Поиск | Сообщения за день | Все разделы прочитаны |
Накопители (HDD, SSD, CD, DVD, Flash и др. ) Обменяемся опытом работы с накопителями (HDD, CD/DVD, Flash и т.д.) |
|
Опции темы | Опции просмотра |
22.10.2017, 00:39 | #31 | |||
Нарушил правила
|
И что? Не зная как всё организовано, подозреваю что монтирование подразумевает контейнера но не целостность его содержимого. Скажем так, без шлейфа SATA ты не можешь прочитать содержимое обычного диска, но даже имея шлейф ты не обязательно увидишь содержимое диска.
Если на то пошло, то давай пойдём по другому пути (*) - покажи содержимое бутсектора примонтированного тома, потом посмотрим что в MFT и сопоставим с логом поиска (в котором и сейчас видны "прорехи"). (*) Другой путь был выбран потому что был вариант более легко найти простое содержимое текстовых файлов. |
|||
26.10.2017, 18:23 | #32 | |||
Нарушил правила
|
Почему бы не продолжать решение проблемы в теме?
Я могу ответить в личке, но подобные вещи полезны для тех, кто изучает такие вопросы. Тем более что твои ЛС переполнены. Итак, на приложенном скриншоте (*) видно что том имеет загрузочный сектор и его копию, но нет начальных записей MFT и всей MFTmirror. Исходя из координат начальных кластеров (выделены синим) видно что они стандартные для виндового форматера - кластера 786432 и 2. При стандартном размере кластера 8 секторов (выделено зелёным) MFT начинается в области 3-х гигабайт. И если представить что TC делает прямолинейное шифрование, то вполне логично что формат и последующая запись данных накрыла MFT - по крайней мере её начальную часть. И это косвенно подтверждается логом поиска - косвенно потому что MFT могла быть фрагментирована, но без начальных записей, это если и можно определить то на томе где нет столько фрагментов от тех же файлов виртуальных машин. Впрочем, если долго мучаться - в смысле анализировать имеющиеся фрагменты и по именам файлов определять к чему они относятся, то можно отсечь лишние и возможно что то прорисуется. Как вариант - искать во всех имеющихся записях записи относящиеся к виртуальным дискам. И из их данных определять их местонахождение. (*) Учитывая твою склонность к шифрованию, на скриншоте оставлен минимум данным, по которым враги не узнают страшную тайну. |
|||
27.10.2017, 04:21 | #33 | |||
В процессе регистрации по e-mail
|
Спасибо за помощь. Как я уже и писал, важнее всего не сами диски виртаульных машин, а тeкcтoвыe файлы, находящиеся там (самое важное по значимости), но, при посекторном поиске находит фрагменты, того что ищу, например тот же aдрec пoчты, который должен быть так - Vasya@pupkin.com , на диске (по посектроном поиске Vas.ya05@pupkin%@#|.com , там или смещение или файл так записался в разные сектора, не могу понять.
Целых ( вот прям чтобы всё как было, находит мизер, чаще всего обрывки например Вас....я........пупкин..б..ыл.здесь* , разделение либо точками, либо каракулями, пробелов мало бывает (пробелы чаще всего в читабельных кусках находит) *Русский текст для примера привёл, там его мало, думаю это не играет роли, с латиницей та же ситуация. Последний раз редактировалось DataLost, 27.10.2017 в 04:25. |
|||
27.10.2017, 06:29 | #34 | |||
Нарушил правила
|
При работе с ТС, или при чтении документации встречал что то про "добавление соли" - конечно же не обычной а, насколько понимаю, того, что препятствует вычислению алгоритма шифрования. Скорей всего всё это и есть следствие всей этой "соли" которая подпортилась форматом и записью данных.
|
|||
27.10.2017, 21:41 | #35 | ||||
В процессе регистрации по e-mail
|
Цитата:
|
||||
28.10.2017, 01:43 | #38 | |||
Нарушил правила
|
DataLost
С самого начала я написал что с ТС знаком немного, а с VDI-файлами если и сталкивался то очень давно, когда ещё пробовал ставить VirtualBox. Тем не менее, мне не составило труда сделать виртуалку. и в ней поставить и то и другое и посмотреть как это выглядит. и ответы базировались на этом и знаниях nTFS и ещё различных. Если что то ещё и можно сделать, то найти и восстановить VDI фалы в надежде на то. что они не пострадали сильно и что (если исходить из обратного) они устроены не как обычные диски. |
|||
28.10.2017, 03:47 | #40 | |||
Нарушил правила
|
Не исключено что выжило всего три записи, а может и неправильно идентифицировались куча записей, которые сложно отнести к тому или иному тому.
Можно сдампить все найденные фрагменты MFT в файл и потом по ним поискать записи о файлах с расширением vdi. |
|||
28.10.2017, 23:14 | #41 | |||
В процессе регистрации по e-mail
|
Разве DMDE и R-studio этого не делают?
|
|||
28.10.2017, 23:59 | #42 | |||
Нарушил правила
|
Конечно делают, но не всегда можно определённо отнести ту или иную запись к какой то файловой системе - тем более что у тебя их очень много.
И я не говорю что обязательно найдётся, но это типа как последний шанс. |
|||
29.10.2017, 02:55 | #43 | ||||
В процессе регистрации по e-mail
|
Цитата:
Не проще сразу искать txt файлы? или сначала нужно найти .vdi образы дисков и потом из их ФС выдирать txt файлы? DMDE можно сдампить все эти обрывки MFT, что нашлись в результатах сканирования? Как это сделать? Могло ли NTFS сжатие привести к повреждению текста? |
||||
29.10.2017, 07:48 | #44 | |||
Нарушил правила
|
Если всё прямолинейно, то конечно же проще - собственно по этому пути то и шли до определённого момента. Но сам же видишь какой результат.
И про сжатие (шифровку) на уровне NTFS я спрашивал в №29 не просто ж так - это приводит к изменению содержимого. Причём учитывать надо что сжатие могло применяться как к vdi-файлам, так и к файлам уже в самом виртуальном диске (или и то и другое). Ну и ещё немного просто размышлязмов. Предположим имеется том на диске и его решили зашифровать с помошью ТС. Размер его в секторах не меняется, но при этом ТС создаёт заголовок контейнера - откуда он берёт место? Подозреваю что за счёт уменьшения размера тома, причём делаемое самой системой - и это подтверждается тем, что то под ХР не получилось зашифровать том и в причинах упоминалось невозможность сжатия. Но ведь кроме сжатия тома ничто не мешает системе сжать и на уровне NTFS - в том числе для внесения той самой "соли" - в том числе выраженной в виде обфускации. Встречался с таковыми вирусными авторанами? В них есть куча мусора, но среди него есть и разбросанный основной текст - и оно работает. Так вот может и здесь нечто подобное? Или всё вместе взятое. |
|||
01.11.2017, 02:44 | #45 | |||
Нарушил правила
|
Сообразил как проверить кое что из написанного выше (относительно ТС) - результат вполне предсказуемый -неутешительный.
Я понимаю что есть те, кто знает специфику ТС, но и разглашать что и как в нём устроено в публичке нет особого смысла. Думаю что достаточно скриншотов, на которых видно оригинальное содержимое файловой записи в томе зашифрованном ТС, та же запись, но после того как на физическом диске нулями перезаписан сектор (*), и тоже самое, но перезапись сделана файловой записью (*). Наверняка понятно что получить что то толковое от такого бесполезно. И это только на уровне зашифрованного тома. А там ещё и VDI - хотя там как бы всё более радужно и не перезаписанные сектора виртуального диска должны содержать имеющуюся инфу - но это если речь идёт о фиксированном диске и обычных файлах (незашифрованных средствами ОС и не сжатых ею же). (*) имитация того как при формате некоторые места обнуляются (**) имитация вновь созданной MFT |
|||
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
Опции темы | |
Опции просмотра | |
|
|
Справочник словарей | ||
Словари русского языка - www.gramota.ru | Яndex - Словари | Википедия - ru.wikipedia.org |
|
|
|