硬盤數(shù)據(jù)恢復環(huán)境&故障情況：
某單位重要數(shù)據(jù)在一臺WINDOWS操作系統(tǒng)的PC機上通過網(wǎng)絡共享給公司員工使用。這臺PC同時也連接著打印機提供打印服務，很多員工直接將文件拷貝到這臺PC上進行打印。該PC機上只有一塊500G磁盤。
該PC的F盤分區(qū)所有類型文件突然全部無法打開。
故障表現(xiàn)：
1、文件名稱，時間，路徑完全正確，磁盤占用空間正確。
2、打開jpg文件提示：“windows照片查看器無法打開此圖片，因為照片查看器不支持此文件格式，或者您沒有照片查看器的最新更新”。
3、打開doc文件提示："請選擇使文檔可讀的編碼"，選擇任何一個編碼后文件都是錯誤的。
4、打開docx文件提示："無法打開文件，因為內(nèi)容有錯誤"。
5、打開xls文件提示：“您嘗試打開的文件的格式與文件擴展名指定的格式不一致，打開文件前請驗證文件沒有損壞且來源可信”。
6、打開xlsx文件提示："您無法打開文件，因為文件格式或文件擴展名無效，請確定文件未損壞，并且文件擴展名與文件的格式匹配"。
7、打開PDF文件提示：“打開文檔時發(fā)生錯誤,文檔已損壞且無法修復”。
8、其他類型文件均無法正常打開。

故障檢測結(jié)果&分析：
1、硬盤不存在無物理故障。除了F盤，其他分區(qū)數(shù)據(jù)均正常。
2、無啟用過任何加密。
3、沒有采用第三方軟件做過分區(qū)大小調(diào)整、合并。
4、無操作系統(tǒng)問題和電腦Virus入侵。
5、無其他異常操作。

將硬盤接入到安全(不加載盤符，不自動寫數(shù)據(jù)，保證完全只讀)的操作環(huán)境中，發(fā)現(xiàn)文件系統(tǒng)底層正常，但數(shù)據(jù)區(qū)出現(xiàn)錯誤。以一個PDF文件為例，在工具中打開如下圖：

北亞企安數(shù)據(jù)恢復——硬盤數(shù)據(jù)恢復

一個正常的PDF文件，二進制結(jié)構一定是以0x46445025(即ASCII的“%PDF”)作為開頭標志，而這個文件的開頭卻是以0x71736712開始。將兩者進行比較，這顯然是一種異或轉(zhuǎn)換。通過計算，兩者相差(異或)0x37。在本PDF文件的尾部同樣發(fā)現(xiàn)了篡改。
于是，在工具中選中文件所有內(nèi)容，對選中塊以0x37做字節(jié)異或(xor)：

北亞企安數(shù)據(jù)恢復——硬盤數(shù)據(jù)恢復

北亞企安數(shù)據(jù)恢復——硬盤數(shù)據(jù)恢復

保存后打開，文件正常。接下來對其他文件做分析，發(fā)現(xiàn)篡改的算法均是全部文件對某個值xor，但此值不確定。按字節(jié)概率計算應該有256種可能，加上文件數(shù)量及類型眾多，顯然手動修正工作量太大。北亞企安數(shù)據(jù)恢復工程師分析其xor加數(shù)的生成規(guī)律。過程如下：
1、推斷是否與路徑相關：在同一路徑下打開不同的文件分析篡改的異或加數(shù)，發(fā)現(xiàn)不盡相同，排除。
2、推斷是否與文件名稱相關：查找所有文件，按名稱排序，找到相同文件名稱但大小不同的文件，打開后分析篡改的異或加數(shù)，發(fā)現(xiàn)不相同，排除。
3、推斷是否與類型相關：找到同一類型的幾個不同文件，分析篡改的異或加數(shù)，發(fā)現(xiàn)不相同，排除。
4、推斷是否與存儲的物理位置相關：在工具中按不同文件起始位置進行分析篡改的異或加數(shù)，未發(fā)現(xiàn)相關性，排除。
5、推斷是否與文件頭部相關：查找頭部相同的文件(有同一文件的不同更新，頭部是相同的)，進行分析后也排除。
6、推斷尾部相關的可能性不大。如果后面分析仍無法得到規(guī)律，則需返回此項再做驗證。
7、推斷是否與文件創(chuàng)建時間相關：分別查找相同創(chuàng)建時間、相同訪問時間、相同最后一次訪問時間的2個文件，進行分析，發(fā)現(xiàn)與此無關，排除。
8、推斷是否與大小相關：簡單驗證后，未舉出反例推翻，但需要完全證明與大小相關，同時要得到算法，需要有足夠多的樣本。

針對是否與大小相關的驗證：
通過命令方式打印所有文件的大?。?
find ./ |xargs ls -ld 2>/dev/null|awk '{printf($5"tt"$9"n");}' >../list.txt
用excel打開此列表文件。

北亞企安數(shù)據(jù)恢復——硬盤數(shù)據(jù)恢復

因篡改的異或加數(shù)只有一個字節(jié)。如果與大小相關，極有可能是和文件大小值的mod 256相對應，于是在excel中計算所有文件大小值的mod 256。

北亞企安數(shù)據(jù)恢復——硬盤數(shù)據(jù)恢復

對mod 256的值進行排序。

北亞企安數(shù)據(jù)恢復——硬盤數(shù)據(jù)恢復

排序后：

北亞企安數(shù)據(jù)恢復——硬盤數(shù)據(jù)恢復

對相同mod 256的文件進行篡改驗證，未發(fā)現(xiàn)不符合規(guī)律者。基本上可以確定篡改值與文件大小值的mod 256存在映射關系。
對所有可能做抽樣分析后，得到篡改異或加數(shù)的生成規(guī)律：

北亞企安數(shù)據(jù)恢復——硬盤數(shù)據(jù)恢復

至此，得到篡改算法。

硬盤數(shù)據(jù)恢復過程：
1、基于前面得到的算法，北亞企安數(shù)據(jù)恢復工程師通過Visual Studio編寫修復程序。
2、使用程序?qū)分區(qū)中的數(shù)據(jù)進行修復。修復完成后隨機抽檢修復好的文件，無報錯。為進一步確定恢復出來的數(shù)據(jù)是否正常，查找出所有JPG文件，顯示縮略圖，沒有發(fā)現(xiàn)異常。

北亞企安數(shù)據(jù)恢復——硬盤數(shù)據(jù)恢復

3、查找所有doc文件，顯示作者、標題，未發(fā)現(xiàn)異常。

北亞企安數(shù)據(jù)恢復——硬盤數(shù)據(jù)恢復

4、交由用戶方進行檢測，用戶方讓讓各部門抽調(diào)員工對恢復出來的數(shù)據(jù)進行檢測，沒有發(fā)現(xiàn)問題。本次數(shù)據(jù)恢復工作完成。

審核編輯 黃宇