• Codeby web-security - Курс "Тестирование Веб-Приложений на проникновение с нуля" от команды codeby. Общая теория, подготовка рабочего окружения, пассивный фаззинг и фингерпринт, Активный фаззинг, Уязвимости, Пост-эксплуатация, Инструментальные средства, Social Engeneering и многое другое. Подробнее ...

  • Мобильный клиент нашего форума для Android гаджетов доступен в Google Play Market по этой ссылке. Клиент можно скачать с нашего форума по этой ссылке. Последняя версия МК в нашем телеграм канале вот здесь. Мобильный клиент для IOS находится в itunes по этой ссылке

Статья Comparison of file recovery programs usb mass storage device (Windows)

Sunnych

Mod. Forensics
Red Team
01.06.2018
122
454
#1
При расследовании инцидентов часто на экспертизу попадают usb накопители, но методы изъятия из ПК или ноутбуков делают эти устройства потом не читаемыми, как пример такого устройства pqi usb flash 256 мб, при подключении в систему выдает "форматировать диск"
error.jpg
Мы рассмотрим такие программы:
  • GetDataBack Simple
  • R-Studio
  • BlackLight 2018 Release 2
  • AccessData Forensic Toolkit FTK
  • X-Ways Forensics
  • Recovery Explorer Professional
  • 7-Data_Recovery
  • MiniToolPowerDataRecovery
  • OntrackEasyRecovery
  • Recover My Files
GetDataBack Simple программа нормально отобразила файлы и папки и была запущена
GetDataBack Simple-1f.jpg
GetDataBack Simple-2f.jpg

R-Studio программа вообще не смогла отобразить хоть какую то информацию, но дала возможность запустить восстановление
R-Studio-1f.jpg

BlackLight 2018 Release 2 программа вообще не смогла отобразить хоть какую то информацию
256usb_black_Статья.jpg

AccessData Forensic Toolkit FTK программа вообще не смогла отобразить хоть какую то информацию
256usb_FTK_Статья.jpg

X-Ways Forensics программа отработала так же как R-Studio
256usb_x-ways_Статья.jpg

Recovery Explorer Professional программа нормально отобразила файлы и папки и была запущена
Recovery Explorer Professional-1f.jpg
Recovery Explorer Professional-2f.jpg

7-Data Recovery программа нормально отобразила файлы и папки и была запущена
7-Data_Recovery-1f.jpg
7-Data_Recovery-2f.jpg

MiniToolPowerDataRecovery программа нормально отобразила файлы и папки и была запущена
MiniToolPowerDataRecovery-1f.jpg

OntrackEasyRecovery программа после определения раздела и дальнейшего сканирования увидела все файлы и папки (доступен пред просмотр)
OntrackEasyRecovery-1f.jpg
MiniToolPowerDataRecovery-1f.jpg

Recover My Files программа нормально отобразила файлы и папки и была запущена (доступен пред просмотр),
обратите внимание на выделенный файл и ниже окно "Display", она даже увидела и восстановила файл альтернативного потока данных (Zone.Identifier) в NTFS
Recover My Files-1f.jpg

Выводы пока что не окончательны, так как есть еще программы с которыми я буду сравнивать, ниже картинка с объемами восстановленных данных
Много не значит качественно.jpg

GetDataBack Simple если не выбирать пункт отображения удаленных файлов все восстановила в изначальное состояние.
R-Studio, BlackLight 2018 Release 2, AccessData Forensic Toolkit FTK, X-Ways Forensics разочаровали, для такой операции, она R-Studio восстановила названия папок и файлов, все что находилось в корневом каталоге (файлы) все поврежденные, папки все пустые т.е она полностью не справилась с задачей (ожиданий от нее было больше, так как часто её использую).
Recovery Explorer Professional не восстановила некоторые папки которые на ура восстановила GetDataBack Simple.
Recover My Files удивила восстановлением файла альтернативного потока данных (Zone.Identifier) в NTFS.
оставшиеся программы 7-Data Recovery, MiniToolPowerDataRecovery, OntrackEasyRecovery не подвели, но есть маленькое примечание, найденные и восстановленные файлы датированные 2012 годом всеми программами были восстановлены битыми.
Но однозначно что именно для сбойной флешки я R-Studio использовать не буду, и первым делом воспользуюсь -> Recover My Files, а следующие будут
7-Data Recovery, MiniToolPowerDataRecovery, GetDataBack Simple.
 
Последнее редактирование:

forgot

Премиум
01.09.2017
15
60
#2
можно дополнить еще программой dmde - показывает хорошие результаты восстановления файлов с сбойных флешек. По личному рейтингу стоит на первом месте. Рекомендую протестировать ее.
Так же столкнувшись с проблемой замены файла(то есть человек работал с документом excel, случайно удалил нужную информацию и сохранил изменения) помогла программа winhex, с помощью ее получилось восстановить все редакции документа.
 
Последнее редактирование:

Sunnych

Mod. Forensics
Red Team
01.06.2018
122
454
#3
можно дополнить еще программой dmde - показывает хорошие
Про winhex если напишите статью с скринами и пояснениями то это будет супер. Жду и надеюсь на Вас о winhex
 
Вверх Снизу