我們的分析和初檢結(jié)論大致是這樣的：

　　1、確定存儲是否RAID,。得到的結(jié)論是只有一塊500G單盤,，排除可能的RAID舊盤同步后出現(xiàn)這種故障的可能。

　　2,、確定硬盤是否有物理故障,，比如是否有異響,，是否訪問緩慢,，是否提示IO錯誤等,。得到的結(jié)論是除了F盤，其他分區(qū)數(shù)據(jù)完全正常,，硬盤在其他數(shù)據(jù)恢復(fù)公司檢測也無物理故障,。排除因物理故障(如硬盤固件缺陷表錯誤，壞道等)導(dǎo)致的類似故障,。

　　3,、確定是否采用加密。得到的結(jié)論是無啟用過任何加密,。排除一些加密系統(tǒng)丟失加密鏈后直接訪問密文導(dǎo)致的類似故障,。

　　4、確定是否采用第三方軟件做過分區(qū)大小調(diào)整,、合并,。得到的結(jié)論是沒有。排除因PQ(Norton PartitionMagic),、DiskGenius, Acronis Disk Director Suite等軟件調(diào)整,、合并分區(qū)出錯導(dǎo)致的類似故障。

　　5,、確定是否操作系統(tǒng)故障,。得到的結(jié)論是重裝系統(tǒng)殺毒后依然。排除因病毒挾持所有可執(zhí)行文件或加入文件系統(tǒng)攔截層導(dǎo)致的類似故障,。

　　6,、無其他異常操作。于是推斷故障可能因病毒或木馬導(dǎo)致,。

　　因之前遇到過多起類似案例,，通常這種破壞并不復(fù)雜，而且可逆(一些不道德的小黑客會按此敲詐用戶),。

【確定方案】

　　將硬盤連接至安全的操作環(huán)境中(不加載盤符,，不自動寫數(shù)據(jù)，保證完全只讀),，發(fā)現(xiàn)文件系統(tǒng)底層上完全正常,，但數(shù)據(jù)區(qū)全部錯誤。以一個PDF文件為例,，在WINHEX中打開時如下圖：

一個正常的PDF文件,，二進(jìn)制結(jié)構(gòu)一定是以0x46445025(即ASCII的“%PDF”)做為開頭標(biāo)志。這個文件的開頭以0x71736712開始,。兩者比較,，顯然是一種異或轉(zhuǎn)換,，通過計(jì)算，兩者相差(異或)0x37,。觀察本PDF文件的尾部,，發(fā)現(xiàn)同樣做了篡改。

于是,，在WINHEX中選中文件所有內(nèi)容,，對選中塊以0x37做字節(jié)異或(xor)：

保存出來后，打開,，文件正常,。

接下來對其他文件做分析,，發(fā)現(xiàn)篡改的算法均是全部文件對某個值xor,，但此值不確定，按字節(jié)概率計(jì)算,，應(yīng)該有256種可能,，加上文件數(shù)量及類型眾多，顯然不能手動進(jìn)行修正,。需要分析其xor加數(shù)的生成規(guī)律,。

　　分析過程如下：

　　1、推斷是否與路徑相關(guān)：在同一路徑下打開不同的文件分析篡改的異或加數(shù),，發(fā)現(xiàn)不盡相同,，排除。

　　2,、推斷是否與文件名稱相關(guān)：查找所有文件,，按名稱排序，找到相同文件名稱但大小不同的文件,，打開后分析篡改的異或加數(shù),，發(fā)現(xiàn)不相同，排除,。

　　3,、推斷是否與類型相關(guān)：找到同一類型的幾個不同文件，分析篡改的異或加數(shù),，發(fā)現(xiàn)不相同,，排除。

　　4,、推斷是否與存儲的物理位置相關(guān)：在WINHEX中按不同文件起始位置進(jìn)行分析篡改的異或加數(shù),，未發(fā)現(xiàn)相關(guān)性，排除,。

　　5,、推斷是否與文件頭部相關(guān)：查找頭部相同的文件(有同一文件的不同更新,，頭部是相同的)，進(jìn)行分析,，也排除,。

　　6、推斷尾部相關(guān)的可能性不大,。(當(dāng)然如果后面分析仍無法得到規(guī)律,，則需返回此項(xiàng)再做驗(yàn)證)

　　7、推斷是否與文件創(chuàng)建時間相關(guān)：分別查找相同創(chuàng)建時間,、相同訪問時間,、相同最后一次訪問時間的2個文件，進(jìn)行分析,，發(fā)現(xiàn)與此無關(guān),，排除。

　　8,、推斷是否與大小相關(guān)：簡單驗(yàn)證后,，未舉出反例推翻，但需要完全證明與大小相關(guān),，同時要得到算法,，需要有足夠多的樣本。

對是否與大小相關(guān)的驗(yàn)證：

　　首先通過命令方式打印所有文件的大小,，WINDOWS很不擅長此操作,，改用LINUX處理：

　　find ./ |xargs ls -ld 2>/dev/null|awk '{printf($5""$9"");}' >../***.txt

　　之后用excel打開此列表文件，如下圖：

因篡改的異或加數(shù)只有一個字節(jié),，故推斷,，如果與大小相關(guān)，極有可能是對文件大小mod 256后關(guān)系對應(yīng),，于是在excel中計(jì)算所有文件大小值 的mod 256,，如下圖：

對mod 256的值進(jìn)行排序，excel可能可以直接實(shí)現(xiàn),，不過,，至少可以復(fù)制整列，再以數(shù)字方式粘貼：

排序后如圖

對相同mod 256的文件進(jìn)行篡改驗(yàn)證,，未發(fā)現(xiàn)不符合規(guī)律者,，基本斷定篡改值與文件大小mod 256的值存在完全映射關(guān)系。

　　對所有可能做抽樣分析后,，得到篡改異或加數(shù)的生成規(guī)律：

至此,，篡改算法得到，同時修正算法也自然就容易多了。

【解決方案】

　　通過VS2010下編寫程序解決,，修復(fù)程序源碼如下：

【驗(yàn)證】

　　程序運(yùn)行完成后,，對文件進(jìn)行抽檢，無報錯,，為進(jìn)一步確定可靠性,，查找所有JPG文件，顯示縮略圖,，無異常,。

　　查找所有doc文件，顯示作者,，標(biāo)題(這兩個信息是通過內(nèi)容部分得到的),，未發(fā)現(xiàn)異常(只是OS盜版的痕跡挺重，呵呵),，至此,，確定算法正確。數(shù)據(jù)恢復(fù)完成,。

重新安裝一下系統(tǒng)試一下

你先重裝一下系統(tǒng)

Tags：也沒不開有任何

文章版權(quán)聲明：除非注明,，否則均為便查問答網(wǎng)原創(chuàng)文章,，轉(zhuǎn)載或復(fù)制請以超鏈接形式并注明出處,。