数据恢复环境:
某公司一台PC存放公司的重要数据,通过WINDOWS网络共享出去,这台PC也连接着打印机,很多员工有权限拷贝数据到这台PC上打印。
故障情况&分析:
这台PC的F盘所有文件无法打开,具体故障表现为:
1、文件名称,时间,路径和磁盘占用空间都没有问题。
2、打开任何一张jpg图片都提示:“windows照片查看器无法打开此图片,因为照片查看器不支持此文件格式,或者您没有照片查看器的最新更新”。
3、打开任何doc文件都提示:"请选择使文档可读的编码",选择任何一个编码都不行。
4、打开任何docx文件都提示:"无法打开文件,因为内容有错误"。
5、打开任何xls都提示:“您尝试打开的文件的格式与文件扩展名指定的格式不一致,打开文件前请验证文件没有损坏且来源可信”。
6、打开任何xlsx都提示:"您无法打开文件,因为文件格式或文件扩展名无效,请确定文件未损坏,并且文件扩展名与文件的格式匹配"。
7、打开任何PDF文档都提示:“打开文档时发生错误,文档已损坏且无法修复”。
8、其他类型文件均无法正常打开。
管理员从互联网上下载了一些数据恢复软件尝试进行恢复,都没有成功解决问题。联系当地几家数据恢复服务商均没有成功恢复,最终联系到我们数据恢复中心。
我们的数据恢复工程师对故障情况进行分析和判断:
1、存储只是一块单盘,排除RAID旧盘同步后导致出现这种故障的可能性。
2、经过检测发现:除了F盘,其他分区数据完全正常,硬盘在其他数据恢复服务商检测过没有发现物理故障。排除物理故障导致出现这种故障的可能性。
3、没有启用过任何加密。排除一些加密系统丢失加密链后直接访问密文导致出现这种故障的可能性。
4、没有采用第三方软件做过分区大小调整、合并。排除因PQ(Norton PartitionMagic)、DiskGenius, Acronis Disk Director Suite等软件调整、合并分区出错导致出现这种故障的可能性。
5、经过检测没有发现操作系统故障。排除因病 毒挟持所有可执行文件或加入文件系统拦截层导致出现这种故障的可能性。
6、没有发现其他异常操作。最终北亚数据恢复工程师推断本案例出现的这种故障是因为病毒或木马造成的。
之前我们遇到过多起类似的案例,通常这种破坏并不复杂而且可逆。与用户沟通后将硬盘送至北亚数据恢复中心。
数据恢复方案:
1、将用户硬盘连接至安全操作环境(不加载盘符、不自动写数据、完全只读),发现文件系统底层完全正常,但数据区全部错误。以一个PDF文件为例,用工具打开:
北亚数据恢复——文件打开报错数据恢复
一个正常的PDF文件的二进制结构一定是以0x46445025(即ASCII的“%PDF”)作为开头标志,但是这个文件以0x71736712开始。这显然是一种异或转换,通过计算两者相差(异或)0x37。观察这个PDF文件的尾部,发现同样的篡改。
于是在工具中选中该PDF文件的所有内容,对选中块以0x37做字节异或(xor):
北亚数据恢复——文件打开报错数据恢复
北亚数据恢复——文件打开报错数据恢复
保存后打开,文件正常。
2、对其他类型文件做分析,发现篡改的算法均是全部文件对某个值xor,但此值不确定。按字节概率计算该值应该有256种可能,而且文件数量及类型众多,不可能一一手动去修正,需要分析其xor加数的生成规律。分析过程如下:
a、在同一路径下打开不同的文件分析篡改的异或加数,发现不尽相同,排除与路径相关。
b、查找所有文件,按名称排序,找到相同文件名称但大小不同的文件,打开后分析篡改的异或加数,发现不相同,排除与文件名称相关。
c、找到同一类型的几个不同文件,分析篡改的异或加数,发现不相同,排除与类型相关。
d、在WINHEX中按不同文件起始位置进行分析篡改的异或加数,未发现相关性,排除与存储的物理位置相关。
e、查找头部相同的文件(有同一文件的不同更新,头部是相同的),进行分析,也排除与文件头部相关。
f、推断与尾部相关的可能性不大。(当然如果后面分析仍无法得到规律,则需返回此项再做验证)
g、分别查找相同创建时间、相同访问时间、相同最后一次访问时间的2个文件,进行分析,发现与此无关,排除与文件创建时间相关。
h、推断是否与大小相关:简单验证后,未举出反例推翻,但需要完全证明与大小相关,同时要得到算法,需要有足够多的样本。
3、对是否与大小相关的验证:
首先通过LINUX命令方式打印所有文件的大小:
find ./ |xargs ls -ld 2>/dev/null|awk '{printf($5"\t\t"$9"\n");}' >../list.txt
然后用excel打开此列表文件,如下图: