Löschen Sie beschädigte / teilweise überschriebene Dateien nicht

375
Tomasz Klim

Kürzlich habe ich mich mit einigen mit Ransomware infizierten Computern befasst, mit verschlüsselten Benutzerdateien. Meine Aufgabe bestand darin, diese Dateien entweder zu entschlüsseln (wenn möglich) oder so viele verwendbare Dateien wie möglich wiederherzustellen. Dazu gehörten auch das Rückgängigmachen von Dateien aus NTFS-Partitionsabbildern.

Natürlich kannte ich bereits "vor allem" und "ntfsundelete" Werkzeuge und habe sie zuvor für andere Aufgaben verwendet. Jetzt habe ich jedoch ein Problem mit ihnen.

Das Problem ist, dass beide Tools versuchen, alle möglichen Dateien wiederherzustellen, einschließlich derjenigen, die bereits überschrieben wurden (teilweise oder vollständig). Dieses Verhalten ist möglicherweise in einem forensischen Labor sehr nützlich, in dem sogar kleine Teile von Bildern / Filmen / Dokumenten als Beweismittel behandelt werden können. In meinem Anwendungsfall sind meine Kunden jedoch daran interessiert, nur vollständig wiederhergestellte Dateien zu erhalten, und sie haben keine Zeit, sie aus Tausenden von beschädigten Dateien auszuwählen.

(Ich weiß auch, dass ntfsundelete den Schalter -p hat, aber es funktioniert in vielen Fällen nicht ausreichend.)

Meine Frage ist also: Was ist die zeiteffektivste Methode für die automatische Wiederherstellung gelöschter Dateien aus NTFS-Partitionen, um die Wiederherstellung beschädigter / überschriebener Dateien zu vermeiden?

0
Bei dieser Frage geht es offenbar um das Wiederherstellen von Dateien und nicht um Informationen. Die Tatsache, dass das Problem auf einen Ransomware-Virus zurückzuführen ist, ist für das, was gefragt wird, nicht relevant. Ich stimme für die Migration dieser Frage zu SuperUser. Neil Smithline vor 7 Jahren 2
"Was ist die beste Methode" - meinungsorientiert. Bitte formulieren Sie Ihre Frage neu, um sie offen zu halten. DavidPostill vor 7 Jahren 0
Es gibt zahlreiche Tools zum Wiederherstellen von Dateien von NTFS. Einige davon bewerten Dateien nach ihrer "Wiederherstellbarkeit", beispielsweise "ausgezeichnet" für Dateien, die nicht überschrieben wurden, und etwas weniger für Dateien, die möglicherweise beschädigt sind. Sie können einfach alle diejenigen mit "ausgezeichnet" kennzeichnen und nur diese wiederherstellen. Sie müssten ein Programm finden, das diese Funktionalität besitzt. vor 7 Jahren 0
ntfsundelete verfügt über diese Funktionalität. Das Problem ist, dass es in vielen Fällen fehlschlägt, da es nur auf NTFS-Indizes basiert, anstatt die wiederhergestellten Daten wirklich zu überprüfen. Vor einigen Jahren habe ich versucht, einige Daten von der SD-Karte mit einer Windows-basierten Software wiederherzustellen, die speziell für die Wiederherstellung von Fotos erstellt wurde, und es wurden Miniaturansichten der wiederhergestellten Fotos zur manuellen Verifizierung angezeigt. So ist eine Echtzeitprüfung möglich. Was ich jetzt brauche, ist eine ähnliche Software, die skriptfähig wäre und eine zeitsparende Massenwiederherstellung (Platte für Platte, gesamte Verzeichnisstruktur auf einmal) ermöglichen würde. Tomasz Klim vor 7 Jahren 0

0 Antworten auf die Frage

Verwandte Probleme