利用Winhex,在扇区中查找13609152663目录名。最简单的查找方法,即返回到上级目录,察看扇区的16进制值即可发现目录区。
在Winhex中(此时需要使用Winhex,因为X-ways Forensics无法修改其中的数据),将13609152663目录名中的1改为0,保存。
此时,重新调用“个人密盘”,发现原来 G 盘中的“密盘”丢失,状态显示为“未建”。
利用Winhex将修改的目录重新改为1,可发现G盘中密盘状态显示为“已建”。证明我们的推断完全准确。
四、 “个人密盘6.9试用版”特征值
经过上述试验,我们可以准确地判定,如果一个磁盘中的RECYCLER目录下包含有13609152663目录,则可判定该磁盘使用过“个人密盘”创建了数据保护区。
在Winhex/X-ways Forensics 13.9版以后版本中,文件名称过滤方式中,新增添了对目录名的支持。因此可以通过文件名称过滤选项,过滤13609152663目录名,从而发现硬盘中个人密盘的存在。
使用本过滤方式时,注意选中文件名称、展开时显示目录、在目录名称中应用过滤条件三个选项,否则无法过滤并显示出目录名。
针对刚才建立的案件,我们选择在所有磁盘中应用过滤条件,即可发现本案例中共包含有两个密盘目录,证明有两个分区建立了密盘。
五、 “个人密盘6.9试用版”所有文件的MD5哈希值
为了从一个磁盘中查找个人密盘加密工具,最有效的途径就是通过哈希值校验方法进行比对。通过本例,我们一步一步地介绍对利用Winhex/X-ways Forensics进行哈希值校验的基本方法。
文件摘要,与校验值很相似,是用于校验文件真实性的一串数值。但文件摘要更加强大,它是很强大的单向哈希编码。 Winhex/X-ways Forensics 支持MD5、SHA-1、SHA-256和PSCHF摘要算法。
1、创建已知文件的哈希集。选择希望创建哈希集的文件。本例中,这四个文件是“个人密盘”的原始文件。选择四个人间,点击鼠标右键,选择菜单中的“创建哈希集”命令。
2、选择哈希分类,设定哈希集名称。本例中,我们计算个人密盘的程序文件的MD5哈希值,主要希望确定计算机中包含个人密盘程序,因此,我们将其类型设定为“关注的,恶意的”。
3、Winhex/X-ways Forensics 提示操作完成,表示哈希集创建成功。哈希库中成功创立“个人密盘”4个文件的哈希值。
4、对整个磁盘进行磁盘快照,选择“计算哈希值”,并选中“依据哈希库比对哈希值”。
5、Winhex/X-ways Forensics 通过计算机所有文件的MD5哈希值,很快从磁盘中发现了我们所关注的四个文件。哈希库名称显示为“个人密盘0609”,哈希分类显示为“关注的”。借此,我们可以证明,磁盘中的确包含有制作密盘保护区的应用程序。
小结:
本节,我们通过研究个人密盘SDISK 的文件保护方法,介绍了如何利用Winhex/X-ways Forensics,通过文件名过滤、文件目录结构,分析判断个人密盘的隐藏数据的隐藏方法及存放位置。
同时,通过利用Winhex的磁盘数据的十六进制编辑、修改功能,判定了个人密盘的准确特征,确定了以目录名过滤条件的识别方法。
最后,通过利用Winhex/X-ways Forensics创建哈希集的方法,利用计算MD5哈希值,准确地发现加密主程序及相关文件,为我们判定加密程序的存在提供了准确依据。
通过本例,读者可以掌握如何利用Winhex/X-ways Forensics 对各种隐藏方式加密工具进行分析,从而掌握加密保护原理,破解加密保护方法。同时,对于熟练掌握Winhex的使用及数据分析技巧具有一定的帮助作用。
第十二章 特定类型文件恢复
本说明中所有图片均出自X-ways Forensics 及Winhex 14.3版。某日,一友人来访,万分苦恼曰:昨日让公司技工帮“Ghost”了一下爱机,重开机后,猛然惊觉珍藏多年之相片集未曾Copy,晕,傻,欲哭无泪,拟投江自尽。盼君能助一背之力,挽其损失。 经Winhex相助,寻回2037照片,友开颜。
IBM笔记本计算机详细信息如下,C盘共20GB。
Drive C:
内部名称: Drive C:创建日期: 2007-08-20 17:49:26Hash: n/a描述 File system: NTFSName: ML_CTotal capacity: 21,482,463,232 bytes = 20.0 GBSector count: 41,957,936Bytes per sector: 512Bytes per cluster: 4,096Free clusters: 3,972,650 = 76% freeTotal clusters: 5,244,742
利用Winhex,笔者从17时49分至18时30分,成功将C盘中的2000余幅照片挽救回来。本例,是恢复特定类型文件的一个典型例子。如恢复DOC,XLS等文件同理。
具体操做过程如下(日志由Winhex自动生成):
日志
时间 描述
2007-08-20 17:49:25 View Disk< td>
2007-08-20 17:49:51 对话框: 请注意:此卷的磁盘快照是 0 分钟以前 进行的。→ 确定(O)
2007-08-20 17:49:54 活动窗口: Drive C:菜单: 进行磁盘快照
2007-08-20 17:50:02 进行磁盘快照< td>
Sprite注:由于主要使用数据恢复功能,因此进行磁盘快照时,只选择前面两项的数据恢复功能即可。而此分区被Ghost覆盖,实际第一选项已毫无用处,仅选择第二项即可。
2007-08-20 17:50:16 依据文件头标志搜索 驱动器 C:< td>
Sprite注:需要恢复的照片为jpeg格式,因此只选通过jpeg格式签名恢复即可,其他无需选择。这是Winhex恢复特定类型文件的主要方法。
2007-08-20 18:16:01 操作*: 读取扇区... +3155 文件→ 完成
2007-08-20 18:16:12 对话框: 进行磁盘快照后现有 62,945 个数据项目 (之前 28,224 个, 之后 +34,721 个)。
2007-08-20 18:16:26 过滤: 文件名称< td>
Sprite注:过滤显示出磁盘中所有jpg文件
2007-08-20 18:16:27 目录浏览及过滤设置< td>
2007-08-20 18:17:47 过滤: 文件名称< td>
Sprite注:由于显示的jpeg文件过多,因此重新设定a*.jpg显示出磁盘中所有恢复出来的jpg文件。
2007-08-20 18:18:14 过滤: 文件大小< td>
Sprite注:同时恢复出一些ie暂存目录下的无用图片,将小于100KB的过滤掉
2007-08-20 18:18:15 目录浏览及过滤设置< td>
2007-08-20 18:18:57 活动窗口: Drive C:菜单: 全选
2007-08-20 18:23:18 活动窗口: Drive C:菜单: 恢复/复制(C)...
2007-08-20 18:29:33 操作*: 正在复制... 2,299 文件, 1.7 GB→ 完成
2007-08-20 18:29:52 对话框: 2,307 个文件和 0 个目录被成功恢复。 (1.8 GB)
2007-08-20 18:30:13 报告 (选项)< td>
Sprite注:制作报告
共计恢复2037张图片,友人大部分照片恢复成功,但部分文件有损坏,笔者也没有办法了。
