如何使用PC-3000 Data Extractor识别EndPoint加密

如何使用PC-3000 Data Extractor识别EndPoint加密

如何使用Data Extractor识别EndPoint加密

必需的。 PC-3000 Data Extractor 的优势之一是能够识别加密和硬盘解密证据,暴露数据以供调查,而无需更改其内容。

如果你曾经凝视着大量未分配的加密集群的,你就会知道,它并不总是显而易见的,你正在处理什么类型的加密。 在这种情况下,技术支持工程师可帮助您识别各种不同类型的加密。

如何使用PC-3000 Data Extractor识别EndPoint加密
大多数全磁盘加密产品都会修改主引导记录(MBR)或卷引导记录(VBR)以指向并执行其代码,以便允许解密数据。 有些产品可能完全取代这些。
在每种情况下,通常会添加与所使用的加密产品相关的标识符。
在我们的例子中,驱动器没有物理问题。 RAW恢复找不到任何文件,但扇区有数据。
当我们在Data Extractor中创建任务并打开文件树时,我们可以看到下图。

如何使用PC-3000 Data Extractor识别EndPoint加密

NTFS引导被识别但我们无法打开文件结构。
对于可视化分析,打开分区的第一个扇区。

如何使用PC-3000 Data Extractor识别EndPoint加密

该扇区的2048标在MBR为NTFS引导包含“垃圾”数据。

如何使用PC-3000 Data Extractor识别EndPoint加密

63扇区(NTFS启动的其他可能位置)也有“垃圾”数据 .

如何使用PC-3000 Data Extractor识别EndPoint加密

但是,如果我们回到62扇区,那么我们可以看到62扇区被零填充。

如何使用PC-3000 Data Extractor识别EndPoint加密

这种情况的一个可能原因是加密,即具有数据的扇区的内容被修改,但具有零的扇区之一仍然是相同的。

要验证它是否使用MBR进入扇区0

如何使用PC-3000 Data Extractor识别EndPoint加密

在扇区偏移 3 MBR, 产品标识符 H PGPGUARD可以被找寻到十六进制值EB 48 90 50 47 50 47 55 41 52 44“. Symantec PGP Whole disk Encryption这种模式是由赛门铁克PGP整盘加密软件的使用。

(0)
上一篇 2024年6月9日 12:33
下一篇 2024年6月9日 12:48

相关文章

工程师微信
联系我们

联系我们

24 小时服务热线:
18913587620
在线咨询:点击这里给我发消息
电话: 0512-68051520
地址:苏州市高新区滨河路588号赛格数码广场4楼4F61室
QQ

在线咨询:点击这里给我发消息

地图
分享本页
返回顶部