"手术"成功,"病人"死亡
转载:"手术"成功,"病人"死亡。来自:http://user.qzone.qq.com/409133413/blog/1254406057
华山剑客 发表于2009年10月01日 22:07 阅读(17) 评论(2)
“手术成功 病人死亡”
----------记一次数据恢复经历
一恢复商发盘要求恢复一监控录像中删除的4个小时共16个文件的数据(应该是取证用!),恢复商发盘前描述:NTFS分区;文件大小一般在60M左右;恢复软件中显示文件的大小是0;可以找到文件头,但按文件头方式恢复失败;可能要提取碎片!!当时我感觉很奇怪,一般只有大文件在删除时才出现文件大小为0的现象;监控录像一般产生碎片的可能性比较小。发盘后,恢复商告之:客户要把这16个文件全部恢复出来才肯付钱。一听这话,晕了,我提取文件碎片一般就是以文件个数计费,恢复成功一个,收一个的费用,如果在发盘前说这话,我肯定不会让他发盘(恢复商在发盘前什么都没问就发盘,我以为恢复商知道我提取碎片的的原则,这一点还是自己马虎了,不过在发盘前我给恢复商说过,有可能恢复失败!!)盘已发了,还是要尽力做好这个恢复,接到盘后分析,发现这个硬盘中90%的文件都有20属性,碎片是相当的多,一个文件的dataruns平均占用两个文件记录的大小,晕! 20属性的修复+碎片的提取应该是一个高难度的恢复。 硬盘录像机中的文件,不同的厂商,文件格式不一样,提取碎片的方案也不一样,连续研究三个晚上(白天要上班,没办法,每天晚上都研究到凌晨3点,晚上研究东西没人打扰效率高!),第一天晚上分析文件结构,把碎片提取方案确定下来;第二天晚上研究20属性的修复,并恢复出一个文件;第三天晚上编写碎片提取的脚本(Winhex中的脚本)。第四天,就是今天,看完国庆阅兵直播后,马上投入数据恢复中......恢复第一个,成功!第二个,成功!!分析第三个文件时,感觉这个文件有覆盖的现象,然后仔细全盘分析,不该发生的故事还是发生了,数据有覆盖的现象!!恢复商和客户曾沟通满足以下条件之一即可付钱:把录像中显示的异常现象(被盗现象)的那个文件恢复出来或者16个文件都恢复出来(不管是否有异常现象),但16个文件的恢复,不是一小时两小时的事。最后告之恢复商日前的情况,并明确告诉恢复商,如果客户同意以文件个数计费(文件名由客户提供),才能继续,否则终止恢复。此事尽管还在协调中,但我感觉到这个故事可能就此结束,所以这个恢复经历我称之为“手术成功 病人死亡”,虽然没恢复完这个数据,但从理论上讲,没有覆盖的文件是可以完全恢复成功的,只是目前没有的价值了。
反思:整个过程中我有过错吗?道德吗?尽管恢复商要我继续下去,赌一把,有可能有异常现象的那个文件没有覆盖,但我不想赌!
华山剑客 恢复商资料全要,有困难,有困难也要上呀 强悍。华山碎片提取太牛了 历害啊,学习中。 有困难要上,没有困难创造困难也要上 都碎成啥样了,真拽~ LZ 针厉害啊!
我好崇拜你啊 学习了顶顶强悍的楼主 支持楼主有困难也勇往直前精神 LZ 针厉害啊
页:
[1]
2