如何使用Data Extractor识别EndPoint加密
必需的。 PC-3000 Data Extractor 的优势之一是能够识别加密和硬盘解密证据,暴露数据以供调查,而无需更改其内容。
如果你曾经凝视着大量未分配的加密集群的,你就会知道,它并不总是显而易见的,你正在处理什么类型的加密。 在这种情况下,技术支持工程师可帮助您识别各种不同类型的加密。
大多数全磁盘加密产品都会修改主引导记录(MBR)或卷引导记录(VBR)以指向并执行其代码,以便允许解密数据。 有些产品可能完全取代这些。
在每种情况下,通常会添加与所使用的加密产品相关的标识符。
在我们的例子中,驱动器没有物理问题。 RAW恢复找不到任何文件,但扇区有数据。
当我们在Data Extractor中创建任务并打开文件树时,我们可以看到下图。
NTFS引导被识别但我们无法打开文件结构。
对于可视化分析,打开分区的第一个扇区。
该扇区的2048标在MBR为NTFS引导包含“垃圾”数据。
63扇区(NTFS启动的其他可能位置)也有“垃圾”数据 .
但是,如果我们回到62扇区,那么我们可以看到62扇区被零填充。
这种情况的一个可能原因是加密,即具有数据的扇区的内容被修改,但具有零的扇区之一仍然是相同的。
要验证它是否使用MBR进入扇区0
在扇区偏移 3 MBR, 产品标识符 “ H PGPGUARD” 可以被找寻到十六进制值 “EB 48 90 50 47 50 47 55 41 52 44“. Symantec PGP Whole disk Encryption这种模式是由赛门铁克PGP整盘加密软件的使用。