McAfee研究人员正在测试Wannacry恢复方法
发布时间:2023-02-22 12:55:19 所属栏目:大数据 来源:
导读:研究人员由首席科学家Raj Samani领导,首席科学家,科研人员研制出了一种实验性恢复方法,能够进行临床实验,可用于恢复文件 - 尽管具有混合结果。
McAfee研究人员使用了一个名为“file carving”的文件
McAfee研究人员使用了一个名为“file carving”的文件
|
研究人员由首席科学家Raj Samani领导,首席科学家,科研人员研制出了一种实验性恢复方法,能够进行临床实验,可用于恢复文件 - 尽管具有混合结果。 McAfee研究人员使用了一个名为“file carving”的文件恢复方法来恢复Wannacry加密数据。在测试期间,某些情况导致几乎完全恢复,而其他案例则效果较低。 该方法为受害者提供了一个选择恢复数据的选项,但Samani和研究人员Christianan Beek和Charles McFarland如果事情不按预期运行,他们也不承担任何责任。 “在我们的测试中,我们有一些案例在恢复几乎完全康复的其他地方,其中几乎是零的零点,”他们说。“变量的数量太详尽了,无法列出,但如果备份不起作用,那么它比对您的数据说再见更好。” 在实验恢复方法的核心,是一种称为“文件雕刻”或简单地雕刻的技术,这是从较大数据集中提取数据集合的过程。 当分析未分配的文件系统空间以提取文件时,数据雕刻技术通常会发生在数字调查中。一位研究人员介绍说,使用特殊文件类型的标题和页脚,从未预先分配的空间“无缝地雕刻”可以防止文件,从未分配的空间“雕刻”文件。 然而,他们强调文件恢复技术与雕刻之间存在很大差异。 虽然文件恢复技术利用删除文件后保留的文件系统信息,但雕刻处理媒体上的原始数据,并且在其过程中不使用文件系统结构。 调查Wannacry代码,研究团队注意到,一旦编写了加密文件,原始文件将被覆盖,并调用FlushBuffersFile。 在监视RansomWare加密时,研究人员观察到在某些操作系统上,除了加密文件之外,原始文件仍然存在,稍后删除原始文件。 对于测试,研究人员使用了运行Windows 7的32位计算机。然后,它们使用从USB棒执行的恢复工具Photorec使用写保护来为原始文件捕捉磁盘的可用空间。 连接USB棒时,研究人员警告赎金软件仍然是活动的,并将搜索和加密它支持的扩展,这就是他们使用写保护的USB棒的原因。在一个实施例中,可以使用多个不同的传感器来检测所述物体。在另一个实施例中,可以使用一个或多个光学传感器来检测所述物体。 (编辑:聊城站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐