Skip to main content

Diskgenius做题使用

只对取证中常用的使用进行说明(文件恢复,可以关注三级标题)

以新创建的虚拟磁盘为例

恢复文件

磁盘——打开虚拟磁盘文件,如果没有找到文件请自己把选择的文件格式修改为All Files(*.*),加载好之后点击到新加卷就可以看到文件(根目录)

image-20240602210812814

由于格式化后的文件恢复与文件正常删除后的恢复过程不同。

我们点击上方的文件恢复,可以对该盘进行文件恢复,您可以在高级选择里选择要恢复的文件类型,默认全选,如果确认文件是删除的,在选择时需要勾选“恢复已删除的文件”。如果在删除之前的正常目录中找不到删除过的文件,就可以根据文件扩展名在“所有类型”里面找一下。有的情况下就算是刚刚删除的文件也可能无法进行恢复,有可能是用户二次操作时破坏了重要信息。

image-20240602210942428

恢复结果如下: image-20240602211027437

过滤

在文件上面能看到红色的垃圾桶图标,代表文件或文件夹是删除的;还有一种绿色的垃圾桶图标,代表该文件夹中带有被删除的文件或文件夹。

当文件过多时,想寻找某一类文件,您还可以通过浏览文件下方的过滤栏进行过滤。

image-20240602211150661

属性含义

对于属性一栏的字母,描述如下: image-20240602211459928

在恢复文件的状态下,文件列表中的“属性”栏将给已删除文件增加两个标记“D”和“X”。“D”表示这是一个已删除的文件。“X”表示这个文件的数据可能已被部分或全部覆盖,文件数据完全恢复的可能性较小。

剩下的内容我们以下面一个内存镜像为例,更贴合做题。

以某内存镜像为例

该内存镜像来源于本地的一个虚拟机快照,使用相同的方法进行加载并恢复。

恢复类型

image-20240602212624174

注意到正常识别出几个分区、以及将找到的文件进行了文件类型分类,方便进一步寻找内容,此外还有很多个分区以识别,实际上里面都是孤立的文件。

对于不能确定归属的文件及文件夹,程序将它们统一放到一个叫做“孤立的文件”的内存文件夹中。如果在原位置找不到要恢复的文件,可以尝试在“孤立的文件”文件夹中查找文件。

对于恢复文件的操作很方便,只需要右键需要勾选中需要恢复的文件,再按下右键选择“复制到指定文件夹”或者“复制到桌面”等即可,为防止破坏当前恢复的磁盘文件,该软件也做出了禁止恢复到当前分区的操作。由于该软件为专业版,因此再大的文件也能够导出,不必担心限制大小的问题。

image-20240602213301005

保存恢复进度

咱们做题或者取证的时候,由于磁盘太大,扫描一次时间太长,通常来说这些磁盘在扫描之后就会自动保存恢复进度。但是有的磁盘可能在关闭diskgenius后再次打开恢复是不会保存恢复进度的,因此这个时候就需要恢复进度。可以点击工具——保存文件恢复进度 进行保存(.dgrp格式)

image-20240602213533831

想加载时,就在恢复时点击“加载扫描进度”

image-20240602213634852

恢复指定类型文件

有的时候由于不想恢复太多类型文件,只想恢复指定类型例如png,可以通过工具——恢复指定类型文件 进行恢复

首先选中加载的虚拟磁盘,然后点击恢复指定的类型文件

image-20240602213817084

这里点击选择文件类型进行选择,diskgenius提供了约100种可以恢复的类型。

image-20240602214050703

搜索完毕后,被搜索到的文件按文件类型分类,每种文件类型有一个或多个以该文件类型名命名的文件夹,每个文件夹中的文件数最大为 1000以此模式恢复会丢失文件名,名称是以序号进行命名的,可以自己根据大小来区分是否有需要的文件。

image-20240602214108643

bitlocker

新版本的diskgenius提供了解密bitlocker功能,博客中提供的5.1.1貌似暂无这个功能,需要用户自行到52pojie或其他网站进行下载。

DiskGenius 能够自动地识别 BitLocker 加密分区;识别 BitLocker 加密分区后,DiskGenius 可以通过密码、密钥或 BEK 文件,解锁加密分区;BitLocker 加密分区解锁后,就可以像操作普通分区一样,用 DiskGenius 软件对 BitLocker 加密分区执行各种操作。

对于加密或解密过程意外中断的 BitLocker 分区,使用 DiskGenius 解锁时还可以指定加密扇区范围。点击“设置”按钮,即可设置 BitLocker 分区加密扇区区间范围。

可以通过工具——bitlocker管理进行解密操作

题外功能

清理空闲空间

清除分区空闲空间并不会对分区现有数据产生影响,如果想将整个分区或是硬盘进行清零,则需要使用清除扇区数据功能。

image-20240602214719126

可以指定写入的字节内容。

重建 MBR

如果 MBR 遭到破坏,或者需要清除主引导记录中的引导程序。可以点击磁盘——重建主引导记录 来重建MBR

查看硬盘 S.M.A.R.T.信息

SMART信息是Self-Monitoring Analysis and Reporting Technology。指的是自检分析及报告,点击磁盘——查看S.M.A.R.T信息即可

image-20240602215034805

坏道检测与修复

垃圾佬常用,在磁盘——坏道检测与修复 中,如果检测出坏道要尝试修复前,如果有重要数据一定要记得备份,因为坏道修复会破坏坏道附近的数据,同时该软件的坏道修复并不能修复所有坏道。

重组RAID

工具——重组RAID

添加磁盘后选定RAID类型和块大小即可,其实这里推荐R-Studio进行重组,后续会讲解,R-Studio具有自动检测功能,非常好用。