检材U盘的修复(检材来源:2020创享杯)

于 2024-02-13 01:28:45 发布
阅读量703 收藏 14
点赞数 12
分类专栏: Forensics Misc 文章标签: 网络安全 数据分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_74559567/article/details/136104673
版权
文章讲述了U盘DBR区域损坏导致取证困难的情况,详细描述了如何通过WinHex分析、确定DBR状态,以及如何从其他分区复制或重建DBR来恢复NTFS文件系统的正常使用,最后介绍如何查找簇大小以进一步分析文件系统。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

背景:

U盘的DBR区被破坏

前置知识(简易版)

MBR:

主引导记录 MBR(Master Boot Record):一般为硬盘的第一个扇区,负责引导操作系统挂载硬盘完成启动工作,包含硬盘分区表(DPT),可以根据其找到操作系统所在分区并执行启动文件,并定位所有硬盘分区。

DBR:

分区引导扇区 DBR(DOS Boot Record):是一段存储文件系统的基本参数和操作系统引导程序的代码,其在磁盘中独占一个扇区,一般标志着一个分区的开始。DBR 的格式比较固定,以 NTFS 文件系统为例,大部分变量为固定值,但仍有需要人工关注的自定义数值,即下表所列。

MFT:

主文件表 MFT(Main File Table):是文件系统的核心,记录文件/文件夹的元数据和部分数据,每个 MFT 占用 2个扇区。

背景

用取证大师打开U盘镜像检材,只能识别“未分配簇”,然后用WinHex进行分析

修复流程

确定DBR状态

用WinHex打开

分区类型是MBR,识别到了起始扇区、分区1,MBR扇区应该是正常的,

点击“分区1”,发现都是00 00

可以断定唯一的分区DBR为空白,也是导致取证软件无法解析的原因

Tip:文件系统是NTFS,最后一个扇区是DBR备份

查看文件系统类型

偏移 5 的位置记录了分区文件系统类型,07 对应着 NTFS。

一些常用的文件系统类型
  • 0x07:NTFS(Windows NT文件系统)
  • 0x0B:FAT32(Windows的32位文件分配表)
  • 0x0C:FAT32(LBA)(针对大容量磁盘优化的FAT32)
  • 0x83:Linux Native(通常对应ext2、ext3、ext4等Linux文件系统)
  • 0x05:Extended partition(扩展分区,不是实际的文件系统,而是用于包含逻辑分的容器)
  • 0x06:FAT16(老式的16位文件分配表)
  • 0x12:Compaq Diagnostics
  • 0x17:Hidden HPFS/NTFS(隐藏的Windows或OS/2高性能文件系统)

既然DBR备份被破坏,就要进行下面的重建

重建DBR

拷贝一个其他分区的DBR或者逐字节写

这里的重建参考了文章的

记得要点击0000 0的第一位才能调用出NTFS的基本偏移量

无误之后就写入到分区一中,然后保存,进行取证

这里也识别的到NTFS

出现了文件

这里就可以直接看到了上一题txt文件的MD5值

找出其文件系统每个簇占用多少KB

WinHex 全局搜索46 49 4C 45(或字符串 FILE)定位到第一个 MFT 表,即 $MFT 的记录。

案例2-U分区引导记录丢失导致提醒格式化
weixin_41687096的博客
01-31 329
U分区引导记录丢失导致提醒格式化。
手工恢复dbr(数据恢复)
02-27
大家好,今天讲手工恢复dbr。就拿u来讲吧。手工恢复其实就是改bpb表的几个字节。大家看我的演示吧。声音录制不上,只能这样打字了。我就不拿实际恢复举例了,我就讲解一下,这几个自己怎么算。 大家看我的演示,打开winhex。这个就是u,大小64m的。扇区0,就是dbr。我给大家做了个ppt,大家看一下。大家看我画方框的地方,这就是要计算的这几个字节。一共5个。隐藏扇区不用算了,这个是0,因为没有分区表。扇区大小,要是硬的话,就根据分区表填写,这里是128640,看左下角。 在就是每簇扇区数,根项目,和保留扇区。每簇扇区数有个公式,大家看一下。上面的是fat16的,下面的是fat32的。大家根据这个公式计算就可以了,保留扇区,fat16的一般是2个, 扇区2就是fat表了,所以保留2个扇区,就是这样计算。硬就搜fat表,找到fat表以后, 就知道保留了几个扇区了。还有就是根项目,这个一般是512,要是pq调整过的话, 就找FDT起始扇区,有fat2起始扇区和长度就很容易得到fdt的起始扇区。 查找到没有数据(也就是全0)后,继续找,找到个非0扇区,也就是数据区 开始扇区,由此就得到fdt的扇区数,在根据每文件目录登记项占用32个字节 就可以算出引导记录数。在转换为16进制,填写在bpb表处就可以了。 位置看这个图。我话方框的地方。 fat32的恢复和这个差不多。大家有不明白的在问。QQ597911642.今天就讲这些吧。
U提示未格式化 三种修复及数据恢复方法
热门推荐
王者归来
10-20 5万+
前做成了启动,能脱离光的不便重装系统,最近帮别人重装系统的时候,通过u启动PE系统的时候突然断电,导致U暂时瘫痪,通过别的机器,插入U打开出现“磁i:未被格式化”的提示,要求进行U格式化,但是U里面存储了很多重要的数据肿么能随便格式化,于是走上探索如何恢复U数据。 提示:磁未被格式化 很多时候在对U进行数据传输的时候,突然拔掉,活动断电,或者死机,都会导致u
EXFAT文件系统DBR的完美恢复
xlzgwry的博客
02-25 1万+
本文简要介绍了EXFAT文件系统的优点,并对EXFAT文件系统中关键部位特征进行了较为详细的剖析,从而可以进一步理解如何利用WINHEX进行手动恢复重要参数的方法。最后给出了一个小的脚本程序,无需掌握C++等高级语言,也可以快速、准确生成EXFAT文件系统的校验码,进而达到可以完整恢复EXFAT的DBR的目的。
数据恢复NTFS-DBR损坏的恢复方法
12-04
有的时候可能由于操作的问,当你再次打开一个你认为没有问的文档时,可能会看见文件中一片乱码更本就无法阅读!如果出现了这些情况可以通过下面的两个方法,来挽救你的文件。 一、替换格式法 这种方法就是把被破坏的Word文档另存为另一种格式。 1、打开被损坏的文档单击“文件/另存为”菜单,在 “保存类型”列表中,选择“RTF格式”,然后单击“保存”按钮,并关闭word。 2、打开刚才刚才保存的RTF格式文件,再次使用 “另存为”将文件重新保存为“Word文档”,现在打开这个word文件就可以发现文件已经被恢复过来了。 如果在转换成rtf格式后文件仍然不能被恢复,可以将文件再次转换为纯文本格式(*.txt),再转换回Word格式。当然在转换为txt文件的时候其图片等信息会丢失掉。
手工数据恢复你也行:FAT文件系统DBR损坏后的恢复
weixin_33775582的博客
03-10 1178
对于FAT16文件系统,因为没有DBR备份扇区,所以当DBR损坏时,就需要根据分区中的数据存储情况重建其DBR,手工恢复如此,软件也如此,只不过软件是虚拟出一个文件系统而已。 对于FAT32文件系统,如果只是DBR意外损坏,位于文件系统6号扇区的备份完好的情况下,可以使用备份DBR恢复主DBR。如果备份DBR也已经损坏,同样只能通过重建DBR来恢复其中的数据。 CIH病毒...
微软云:Azure+CRM优化企业云部署解决方案
“微软云webinar-Azure+CRM应用案例介绍.pdf”主要探讨了将Dynamics CRM迁移到Azure公有云的益处和具体应用案例。内容涉及到迁移到Azure之前遇到的问,以及Azure解决方案所带来的价值。 在迁移到Azure之前,...
自主智能 未来——2020中国自动化大会隆重召开.pdf
09-17
自主智能 未来——2020中国自动化大会隆重召开.pdf
"生活:XPOWER SmartLiving的灵动空间与新种子
藏经阁-灵动空间 生活是由相舆科技办的一个智能化新平台,旨在为人们提供一种智能、便捷、高品质的生活方式。该平台的始人朱文廷是一个富有新精神和业激情的轻企业家。他的愿景是通过新种子在每一...
汽车品牌科技体验营:营销策略与方案
活动名为‘汽车品牌科技体验营第3季’,计划在20199月进行,涵盖A、B、C三个档次的城市,针对不同车型的目标人群,如城市自由派、智活族和劲情实力派等,以C4世嘉、C3-XR及新C4L的潜在用户为主。活动分为四大...
简易画质助手_3.0微信搜【角马】.apk
11-04
简易画质助手_3.0微信搜【角马】.apk
简单的脚本恢复NTFS分区DBR扇区
02-24
恢复NTFS DBR DBR 坏了的可以自动恢复
搜索不到EBR、DBR硬winhex手工重建的数据恢复
08-05
搜索不到EBR、DBR硬的数据恢复,分区表恢复不了,手工winhex重建
MBR、EBR与DBR详解
D_R_L_T的博客
04-20 4671
原文链接:https://blog.youkuaiyun.com/hilavergil/article/details/79270379 先看一张硬图片(一个面): MBR 主引导记录(MBR,Main Boot Record)是位于磁最前边的一段引导(Loader)代码。它负责磁操作系统(DOS)对磁进行读写时分区合法性的判别、分区引导信息的定位,它由磁操作系统(DOS
分区表知识——详解硬MBR
最新发布
u010551008的博客
02-06 3260
是现在计算机上最常用的存储器之一。我们都知道,计算机之所以神奇,是因为它具有高速分析处理数据的能力。而这些数据都以文件的形式存储在硬 里。不过,计算机可不像人那么聪明。在读取相应的文件时,你必须要给出相应的规则。这就是分区概念。 分区从实质上说就是对硬的一种格式化。当我们建分区时,就已经设置好了硬的各项物理参数,指定了硬主引导记录(即Master Boot Record,一般简称为MBR)和引导记录备份的存放位置。而对于文件系统以及其他操作系统管理硬所需要的信息则是通过以后的高级格式化
引导记录(DBR)及其结构
千金甜果的专栏
05-08 7774
的逻辑0扇区都称为DOS引导扇区,又称为BOOT区。我们可以用DEBUG中的L命令读出DBR扇区的内容。在DEBUG中,L命令的格式是:L 内存缓冲区地址,号,起始扇区,要读取的扇区数其中,磁A、B、C、D、E...的号分别为 0、1、2、3、4...例如,进入DEBUG后,将DDBR扇区的读入内存CS:100的命令为:-L 100,3,0,11.DBR扇区的结构经由FORMAT高级格
MBR,DBR,等数据结构的详细参数
lhbbzh的专栏
09-16 963
MBR,DBR,等数据结构的详细参数 标签: 数据结构object扩展disktools磁 2010-04-20 18:19 280人阅读 评论(0) 收藏 举报  分类: (9)  硬主引导扇区 = 硬主引导记录(MBR)+ 硬分区表(DPT) ------------------------------------------------
windows操作系统的DBR引导代码
12-13 2645
windows操作系统的DBR引导代码——硬最底层之总结windows , 操作系统 , 最底层 , DBR , 硬<br /> 最近从网上找了一个windows 7操作系统 完全硬 安装的教程 ,其中有一步是在CMD中输入一段命令,大概是改写引导分区 的DBR。大家知道,windows 7和vista的系统主引导文件 是 bootmgr,XP和windows 2003的主引导文件是NTLDR,系统分区引导代码的作用就是负责找到这些最基本的引导文件,所以windows 7
DOS分区体系的主引导记录扇区-MBR
weixin_34126557的博客
02-07 396
使用DOS分区体系时,磁的第一个扇区――也就是0号扇区被称为主引导记录扇区,也称为MBR(主引导记录,Master Boot Recorder--MBR)。当计算机启动并完成自检后,首先会寻找磁的MBR扇区并读取其中的引导记录,然后将系统控制权交给它。由此可见,如果MBR损坏,则后续的所有工作都无法继续进行。 1. MBR数据结构 MBR由446个字节的引导代码、64...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值