【北亞資料恢復】某公司網路共享檔案開啟報錯的資料恢復案例

資料恢復環境：

某公司一臺PC存放公司的重要資料，透過WINDOWS網路共享出去，這臺PC也連線著印表機，很多員工有許可權複製資料到

這臺PC上列印。

故障情況&分析：

這臺PC的F盤所有檔案無法開啟，具體故障表現為：

1、檔名稱，時間，路徑和磁碟佔用空間都沒有問題。

2、開啟任何一張jpg圖片都提示：“windows照片檢視器無法開啟此圖片，因為照片檢視器不支援此檔案格式，或者您沒有

照片檢視器的最新更新”。

3、開啟任何doc檔案都提示："請選擇使文件可讀的編碼"，選擇任何一個編碼都不行。

4、開啟任何docx檔案都提示："無法開啟檔案，因為內容有錯誤"。

5、開啟任何xls都提示：“您嘗試開啟的檔案的格式與副檔名指定的格式不一致，開啟檔案前請驗證檔案沒有損壞且來

源可信”。

6、開啟任何xlsx都提示："您無法開啟檔案，因為檔案格式或副檔名無效，請確定檔案未損壞，並且副檔名與檔案

的格式匹配"。

7、開啟任何PDF文件都提示：“開啟文件時發生錯誤,文件已損壞且無法修復”。

8、其他型別檔案均無法正常開啟。

管理員從網際網路上下載了一些資料恢復軟體嘗試進行恢復，都沒有成功解決問題。聯絡當地幾家資料恢復服務商均沒有成功

恢復，最終聯絡到我們資料恢復中心。

我們的資料恢復工程師對故障情況進行分析和判斷：

1、儲存只是一塊單盤，排除RAID舊盤同步後導致出現這種故障的可能性。

2、經過檢測發現：除了F盤，其他分割槽資料完全正常，硬碟在其他資料恢復服務商檢測過沒有發現物理故障。排除物理故障

導致出現這種故障的可能性。

3、沒有啟用過任何加密。排除一些加密系統丟失加密鏈後直接訪問密文導致出現這種故障的可能性。

4、沒有采用第三方軟體做過分割槽大小調整、合併。排除因PQ(Norton PartitionMagic)、DiskGenius, Acronis Disk Director

 Suite等軟體調整、合併分割槽出錯導致出現這種故障的可能性。

5、經過檢測沒有發現作業系統故障。排除因病 毒挾持所有可執行檔案或加入檔案系統攔截層導致出現這種故障的可能性。

6、沒有發現其他異常操作。最終北亞資料恢復工程師推斷本案例出現的這種故障是因為病毒或木馬造成的。

之前我們遇到過多起類似的案例，通常這種破壞並不複雜而且可逆。與使用者溝通後將硬碟送至北亞資料恢復中心。

資料恢復方案：

1、將使用者硬碟連線至安全操作環境(不載入磁碟機代號、不自動寫資料、完全只讀)，發現檔案系統底層完全正常，但資料區全部錯

誤。以一個PDF檔案為例，用工具開啟：

一個正常的PDF檔案的二進位制結構一定是以0x46445025(即ASCII的“%PDF”)作為開頭標誌，但是這個檔案以0x71736712

開始。這顯然是一種異或轉換，透過計算兩者相差(異或)0x37。觀察這個PDF檔案的尾部，發現同樣的篡改。

於是在工具中選中該PDF檔案的所有內容，對選中塊以0x37做位元組異或(xor)：

儲存後開啟，檔案正常。

2、對其他型別檔案做分析，發現篡改的演算法均是全部檔案對某個值xor，但此值不確定。按位元組機率計算該值應該有256種可

能，而且檔案數量及型別眾多，不可能一一手動去修正，需要分析其xor加數的生成規律。分析過程如下：

a、在同一路徑下開啟不同的檔案分析篡改的異或加數，發現不盡相同，排除與路徑相關。

b、查詢所有檔案，按名稱排序，找到相同檔名稱但大小不同的檔案，開啟後分析篡改的異或加數，發現不相同，排除與文

件名稱相關。

c、找到同一型別的幾個不同檔案，分析篡改的異或加數，發現不相同，排除與型別相關。

d、在WINHEX中按不同檔案起始位置進行分析篡改的異或加數，未發現相關性，排除與儲存的物理位置相關。

e、查詢頭部相同的檔案(有同一檔案的不同更新，頭部是相同的)，進行分析，也排除與檔案頭部相關。

f、推斷與尾部相關的可能性不大。(當然如果後面分析仍無法得到規律，則需返回此項再做驗證)

g、分別查詢相同建立時間、相同訪問時間、相同最後一次訪問時間的2個檔案，進行分析，發現與此無關，排除與檔案建立

時間相關。

h、推斷是否與大小相關：簡單驗證後，未舉出反例推翻，但需要完全證明與大小相關，同時要得到演算法，需要有足夠多的樣

本。

3、對是否與大小相關的驗證：

首先透過LINUX命令方式列印所有檔案的大小：

find ./ |xargs ls -ld 2>/dev/null|awk '{printf($5"\t\t"$9"\n");}' >../list.txt

然後用excel開啟此列表檔案，如下圖：

因篡改的異或加數只有一個位元組，如果與大小相關，極有可能是對檔案大小mod 256後關係對應，於是在excel中計算所有文

件大小值的mod 256，如下圖：

對mod 256的值進行排序，excel可能可以直接實現，不過至少可以複製整列，再以數字方式貼上：

排序後如下圖：

　　

對相同mod 256的檔案進行篡改驗證，未發現不符合規律者，基本斷定篡改值與檔案大小mod 256的值存在完全對映關係。

對所有可能做抽樣分析後，得到篡改異或加數的生成規律：

到這步我們已經搞清楚了篡改演算法，對演算法進行修正就容易得多。

資料恢復過程：

北亞資料恢復工程師開始編寫修復程式，修復程式原始碼如下：

資料恢復驗證：

程式執行完成後，對檔案進行抽檢無報錯。為進一步確定可靠性，查詢出所有JPG檔案，均顯示出縮圖，沒有發現異常。

查詢出所有doc檔案，顯示作者，標題，未發現異常。由管理員親自對其他型別檔案進行抽檢也沒有發現異常。至此確定算

法正確，資料恢復成功。