迅维网

标题: HDT515演示版——一位老头搞的数据恢复分析软件 [打印本页]

作者: 宇光 时间: 2011-2-24 21:29
标题: HDT515演示版——一位老头搞的数据恢复分析软件
本帖最后由宇光于 2011-2-24 21:30 编辑

先打个预告广告吧
这是姜志涛老师自己编写的数据恢复与数据分析软件。姜老师是我所仰慕的哈尔滨计算机维修界两位前辈之一（另一位是杨春合），我和姜老师认识已经有十几年了。我们是因为修显示器认识的——当时我老板的朋友引见姜老师帮我们公司修显示器。那几台显示器是我没修好的（当时我刚开始学显示器），姜老师上手只一会儿就解决了。此后，我逐渐了解了他的情况。我们之间也有几次联手合作维修，配合完美。姜老师是一位难得的研究型维修人员，这与他做教师有关。
姜志涛老师是专职教师，教计算机的，原来所在的黑龙江省粮食学校2004年与黑龙江省电视大学合并，目前该校已成为黑龙江省电视大学的粮食职业学院了。目前他退休在家，老人很想将自己掌握知识找个合适的人传授给他（可惜我不懂数据恢复）。如果有人想了解数据恢复方面的知识，可以与他联系，特别是哈尔滨的朋友会有机会上门向他求教。但一定请注意：如果你一点基础都没有，那就别问他问题了，这样会耗费他大量时间，他吃不消。而且一般人也难入他的法眼。
这次发的HDT515演示版对硬盘容量做了限制——不超过50G。

软件简介
为了更方便的进行硬盘的数据恢复及数据分析，本人用汇编语言编写了一套磁盘数据解析工具，使用这套工具，可以更方便的帮助我们实现硬盘数据的“法医式”分析与提取。现有以下几项功能：
1。硬盘的物理克隆
在计算机与网络的安全分析、系统破解、以及计算机犯罪调查中，原始素材或物证具有不可替代的作用。在有些情况下，恢复残余文件的操作需要重新制作硬盘分区，属于暴力分析，会改变原有的分区结构，为了保持原始证据的真实性与分析的可重现性，需要对原硬盘信息进行物理克隆，然后，信息的分析与提取工作就可在副本上进行。本工具可对硬盘进行快速复制，也可将指定范围内的扇区复制到任意其它位置，包括单一硬盘的自身复制。最大支持容量为 500，000，000 T 。
利用此项技术，还可以破解一些加密的系统重做后不能启动的问题，将原系统的硬盘直接进行物理克隆，问题就解决了。
2。批量扇区比较
可用于比较某些区块的内容是否相同，发现数据不一致时，显示物理扇区号，并提示是否继续。
3。硬盘数据清除
可对指定范围内的扇区数据清零。
4。数据搜索
可对某些含有特殊代码的扇区进行搜索，可用于查找 MBR，DBR，FAT，MFT，INDEX 等特殊扇区。查找时，需要指定扇区范围，被查找代码，并指定代码在扇区中的偏移量。
5。重建 FAT 表
当分区结构被破坏后，或经过数次重新分区后，原始数据就只能靠手工进行查找与恢复（提取）。这时，可在指定位置重建分区表，DBR 及 FAT ，由于 FAT 表较长，手工填写工作量较大，所以用本工具批量写入，写入时，需要指出 FAT 表的起始位置，FAT 表的长度（扇区数）和格式（FAT 16 或 FAT 32）。
在重写后的 FAT 表中，所有的蔟标识都被占用，且全部连续，没有 EOF （结束），0 （未占用），等。重建了 FAT 表后，即可查找残余文件，将找到的文件名及入口蔟号写入自建的目录中，就能进行提取了。有些 NTFS 分区被破坏后，无法找到 MFT 及 INDEX 时，也可用此方法进行数据的恢复与提取。
关于手工进行数据恢复的技术请参考本人文章“分析并提取硬盘的残余文件”。
本工具只能运行于 DOS 环境之下。
本次5.15版本改善了以下功能：
（1）增加了输入扇区的数目限制，防止超过磁盘容量。
（2）解决了数据搜索超过搜索范围的问题。

软件我明天发上来，请等待。

作者: 宇光 时间: 2011-2-25 16:50
文件部分

HDT515演示版.rar (371 KB, 下载次数: 28)