这是今年以来难度最大的U盘数据恢复案例,U盘是爱国者256G的,联系我们之前已经被多家公司处理过,据说还刷过固件,但最终都恢复失败。爱国者这种128、256G的大容量U盘我们有很多成功案例,一般只要颗粒芯片没有严重损坏都能恢复,所以就让客户寄过来检测处理。
我们先按正常流程读出芯片dump,然后按照以往的算法方案进行重组,但并没有出现目录结构,多次调整也一样,于是先做出镜像,对整个镜像分析后也没找到正常数据,只有极个别的文档,当时判断这个U盘应该是有加密,跟客户沟通确实如此,这样就很头疼了,因为加密U盘底层扇区都是加密状态,没法进行算法和结构分析,就不一定能成功。
我们只能根据经验来进行参数调整,然后做出镜像,再分析镜像看能不能正常解密,256G的大颗粒芯片,如此电脑反复操作可以想象有多繁琐。最终经过多次测试成功的解密,恢复了近70G数据,不过并没有客户说的每天都保存的账套备份,只有一个实时使用的物理库,数据库测试是损坏的,这就意味着希望都要寄托在修好这个库上,这个库有48个账套,而且是非常小众的sybase数据库,分析发现很多页都是损坏的,非常棘手。
但没办法,只能得一个账套一个账套的修,最终又经过一个多星期的努力,48个账套大部分都修复成功,少数几个账套没法修复,就把最重要的凭证表导出来,供客户建立新账套做账使用,客户验证以后对恢复结果表示认可。
这个大容量U盘的数据恢复,从读芯片到分析,再到算法调整,然后做镜像解密,最后修复数据库,启用了多台设备,多位工程师通力合作,一共花了一个多月时间,修复过程非常曲折,真的是一个坎接着一个坎,特别是在得知有加密及后期发现根本没有账套备份的时候,真的很悲观沮丧,还好天道酬勤,努力没有白费。
电脑电脑电脑