THG.RU | \"Поиск\" Поиск \"Поиск\" | Новости | Видеокарты | Процессоры | Материнские платы | Мониторы | Аудио/видео | HDD и CD/DVD | Собери сам | Игры | Софт | Домашний ПК


Клуб экспертов THG.ru   

Вернуться   Клуб экспертов THG.ru > Персональные компьютеры. Компьютерное и серверное железо. > Накопители (HDD, SSD, CD, DVD, Flash и др. )

Регистрация Правила форума FAQ форума Справка Пользователи Поиск Сообщения за день Все разделы прочитаны

Накопители (HDD, SSD, CD, DVD, Flash и др. ) Обменяемся опытом работы с накопителями (HDD, CD/DVD, Flash и т.д.)

Ответ
 
Опции темы Опции просмотра
Старый 22.10.2017, 00:39   #31
Меню пользователя 9285
Нарушил правила
  
Цитата:
Сообщение от DataLost Посмотреть сообщение
Дак диск смонтировался в трук крипте.
И что? Не зная как всё организовано, подозреваю что монтирование подразумевает контейнера но не целостность его содержимого. Скажем так, без шлейфа SATA ты не можешь прочитать содержимое обычного диска, но даже имея шлейф ты не обязательно увидишь содержимое диска.

Если на то пошло, то давай пойдём по другому пути (*) - покажи содержимое бутсектора примонтированного тома, потом посмотрим что в MFT и сопоставим с логом поиска (в котором и сейчас видны "прорехи").

(*) Другой путь был выбран потому что был вариант более легко найти простое содержимое текстовых файлов.
9285 вне форума   Ответить с цитированием
Старый 26.10.2017, 18:23   #32
Меню пользователя 9285
Нарушил правила
  
Почему бы не продолжать решение проблемы в теме?
Я могу ответить в личке, но подобные вещи полезны для тех, кто изучает такие вопросы. Тем более что твои ЛС переполнены.
Итак, на приложенном скриншоте (*) видно что том имеет загрузочный сектор и его копию, но нет начальных записей MFT и всей MFTmirror.
Исходя из координат начальных кластеров (выделены синим) видно что они стандартные для виндового форматера - кластера 786432 и 2. При стандартном размере кластера 8 секторов (выделено зелёным) MFT начинается в области 3-х гигабайт. И если представить что TC делает прямолинейное шифрование, то вполне логично что формат и последующая запись данных накрыла MFT - по крайней мере её начальную часть. И это косвенно подтверждается логом поиска - косвенно потому что MFT могла быть фрагментирована, но без начальных записей, это если и можно определить то на томе где нет столько фрагментов от тех же файлов виртуальных машин. Впрочем, если долго мучаться - в смысле анализировать имеющиеся фрагменты и по именам файлов определять к чему они относятся, то можно отсечь лишние и возможно что то прорисуется.
Как вариант - искать во всех имеющихся записях записи относящиеся к виртуальным дискам. И из их данных определять их местонахождение.
(*) Учитывая твою склонность к шифрованию, на скриншоте оставлен минимум данным, по которым враги не узнают страшную тайну.
Изображения
Тип файла: png pp.png (10.6 Кб, 170 просмотров)
9285 вне форума   Ответить с цитированием
Старый 27.10.2017, 04:21   #33
Меню пользователя DataLost
В процессе регистрации по e-mail
  
Спасибо за помощь. Как я уже и писал, важнее всего не сами диски виртаульных машин, а тeкcтoвыe файлы, находящиеся там (самое важное по значимости), но, при посекторном поиске находит фрагменты, того что ищу, например тот же aдрec пoчты, который должен быть так - Vasya@pupkin.com , на диске (по посектроном поиске Vas.ya05@pupkin%@#|.com , там или смещение или файл так записался в разные сектора, не могу понять.
Целых ( вот прям чтобы всё как было, находит мизер, чаще всего обрывки например Вас....я........пупкин..б..ыл.здесь* , разделение либо точками, либо каракулями, пробелов мало бывает (пробелы чаще всего в читабельных кусках находит)

*Русский текст для примера привёл, там его мало, думаю это не играет роли, с латиницей та же ситуация.

Последний раз редактировалось DataLost, 27.10.2017 в 04:25.
DataLost вне форума   Ответить с цитированием
Старый 27.10.2017, 06:29   #34
Меню пользователя 9285
Нарушил правила
  
При работе с ТС, или при чтении документации встречал что то про "добавление соли" - конечно же не обычной а, насколько понимаю, того, что препятствует вычислению алгоритма шифрования. Скорей всего всё это и есть следствие всей этой "соли" которая подпортилась форматом и записью данных.
9285 вне форума   Ответить с цитированием
Старый 27.10.2017, 21:41   #35
Меню пользователя DataLost
В процессе регистрации по e-mail
  
Цитата:
Сообщение от 9285 Посмотреть сообщение
При работе с ТС, или при чтении документации встречал что то про "добавление соли" - конечно же не обычной а, насколько понимаю, того, что препятствует вычислению алгоритма шифрования. Скорей всего всё это и есть следствие всей этой "соли" которая подпортилась форматом и записью данных.
Тогда, почему некоторые файлы всё же находит целые? Хотя, по сравнению с потерянными это, скорее исключение из правил
DataLost вне форума   Ответить с цитированием
Старый 28.10.2017, 00:18   #36
Меню пользователя 9285
Нарушил правила
  
DataLost
Ответ на этот вопрос знает тот, кто знает как устроено в ТС.
9285 вне форума   Ответить с цитированием
Старый 28.10.2017, 01:34   #37
Меню пользователя DataLost
В процессе регистрации по e-mail
  
Цитата:
Сообщение от 9285 Посмотреть сообщение
DataLost
Ответ на этот вопрос знает тот, кто знает как устроено в ТС.
Понял.
Мне ещё что-нибудь нужно выложить для вашего анализа или без шансов выудить информацию?
DataLost вне форума   Ответить с цитированием
Старый 28.10.2017, 01:43   #38
Меню пользователя 9285
Нарушил правила
  
DataLost
С самого начала я написал что с ТС знаком немного, а с VDI-файлами если и сталкивался то очень давно, когда ещё пробовал ставить VirtualBox.
Тем не менее, мне не составило труда сделать виртуалку. и в ней поставить и то и другое и посмотреть как это выглядит. и ответы базировались на этом и знаниях nTFS и ещё различных.
Если что то ещё и можно сделать, то найти и восстановить VDI фалы в надежде на то. что они не пострадали сильно и что (если исходить из обратного) они устроены не как обычные диски.
9285 вне форума   Ответить с цитированием
Старый 28.10.2017, 03:17   #39
Меню пользователя DataLost
В процессе регистрации по e-mail
  
9285, ну, несколько VDI файлов находит R-studio, но это тока штуки 3, их было поболее
DataLost вне форума   Ответить с цитированием
Старый 28.10.2017, 03:47   #40
Меню пользователя 9285
Нарушил правила
  
Не исключено что выжило всего три записи, а может и неправильно идентифицировались куча записей, которые сложно отнести к тому или иному тому.
Можно сдампить все найденные фрагменты MFT в файл и потом по ним поискать записи о файлах с расширением vdi.
9285 вне форума   Ответить с цитированием
Старый 28.10.2017, 23:14   #41
Меню пользователя DataLost
В процессе регистрации по e-mail
  
Цитата:
Сообщение от 9285 Посмотреть сообщение
Не исключено что выжило всего три записи, а может и неправильно идентифицировались куча записей, которые сложно отнести к тому или иному тому.
Можно сдампить все найденные фрагменты MFT в файл и потом по ним поискать записи о файлах с расширением vdi.
Разве DMDE и R-studio этого не делают?
DataLost вне форума   Ответить с цитированием
Старый 28.10.2017, 23:59   #42
Меню пользователя 9285
Нарушил правила
  
Конечно делают, но не всегда можно определённо отнести ту или иную запись к какой то файловой системе - тем более что у тебя их очень много.
И я не говорю что обязательно найдётся, но это типа как последний шанс.
9285 вне форума   Ответить с цитированием
Старый 29.10.2017, 02:55   #43
Меню пользователя DataLost
В процессе регистрации по e-mail
  
Цитата:
Сообщение от 9285 Посмотреть сообщение
Не исключено что выжило всего три записи, а может и неправильно идентифицировались куча записей, которые сложно отнести к тому или иному тому.
Можно сдампить все найденные фрагменты MFT в файл и потом по ним поискать записи о файлах с расширением vdi.


Не проще сразу искать txt файлы? или сначала нужно найти .vdi образы дисков и потом из их ФС выдирать txt файлы? DMDE можно сдампить все эти обрывки MFT, что нашлись в результатах сканирования? Как это сделать?

Могло ли NTFS сжатие привести к повреждению текста?
DataLost вне форума   Ответить с цитированием
Старый 29.10.2017, 07:48   #44
Меню пользователя 9285
Нарушил правила
  
Если всё прямолинейно, то конечно же проще - собственно по этому пути то и шли до определённого момента. Но сам же видишь какой результат.
И про сжатие (шифровку) на уровне NTFS я спрашивал в №29 не просто ж так - это приводит к изменению содержимого. Причём учитывать надо что сжатие могло применяться как к vdi-файлам, так и к файлам уже в самом виртуальном диске (или и то и другое).

Ну и ещё немного просто размышлязмов.
Предположим имеется том на диске и его решили зашифровать с помошью ТС. Размер его в секторах не меняется, но при этом ТС создаёт заголовок контейнера - откуда он берёт место? Подозреваю что за счёт уменьшения размера тома, причём делаемое самой системой - и это подтверждается тем, что то под ХР не получилось зашифровать том и в причинах упоминалось невозможность сжатия. Но ведь кроме сжатия тома ничто не мешает системе сжать и на уровне NTFS - в том числе для внесения той самой "соли" - в том числе выраженной в виде обфускации. Встречался с таковыми вирусными авторанами?
В них есть куча мусора, но среди него есть и разбросанный основной текст - и оно работает. Так вот может и здесь нечто подобное? Или всё вместе взятое.
9285 вне форума   Ответить с цитированием
Старый 01.11.2017, 02:44   #45
Меню пользователя 9285
Нарушил правила
  
Сообразил как проверить кое что из написанного выше (относительно ТС) - результат вполне предсказуемый -неутешительный.
Я понимаю что есть те, кто знает специфику ТС, но и разглашать что и как в нём устроено в публичке нет особого смысла.
Думаю что достаточно скриншотов, на которых видно оригинальное содержимое файловой записи в томе зашифрованном ТС, та же запись, но после того как на физическом диске нулями перезаписан сектор (*), и тоже самое, но перезапись сделана файловой записью (*).
Наверняка понятно что получить что то толковое от такого бесполезно.
И это только на уровне зашифрованного тома.
А там ещё и VDI - хотя там как бы всё более радужно и не перезаписанные сектора виртуального диска должны содержать имеющуюся инфу - но это если речь идёт о фиксированном диске и обычных файлах (незашифрованных средствами ОС и не сжатых ею же).
(*) имитация того как при формате некоторые места обнуляются
(**) имитация вновь созданной MFT
Изображения
Тип файла: png original.PNG (23.3 Кб, 159 просмотров)
Тип файла: png 00.PNG (39.5 Кб, 165 просмотров)
Тип файла: png file_record.PNG (35.8 Кб, 159 просмотров)
9285 вне форума   Ответить с цитированием
Ответ


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 
Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать темы
Вы не можете отвечать на сообщения
Вы не можете прикреплять файлы
Вы не можете редактировать сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Быстрый переход


Справочник словарей
Словари русского языка - www.gramota.ru Яndex - Словари Википедия - ru.wikipedia.org

Часовой пояс GMT +4, время: 10:33.


Powered by: vBulletin, ©2000 - 2007, Jelsoft Enterprises Limited.
Перевод: zCarot
Распространение информации возможно только с письменного разрешения администрации издания.

THG.ru ("Русский Tom's Hardware Guide") входит в международную сеть TG Publishing

РЕКЛАМА

Rambler's Top100 Рейтинг@Mail.ru