HDT515演示版——一位老头搞的数据恢复分析软件

会员2889

先打个预告广告吧
      这是姜志涛老师自己编写的数据恢复与数据分析软件。姜老师是我所仰慕的哈尔滨计算机维修界两位前辈之一（另一位是杨春合），我和姜老师认识已经有十几年了。我们是因为修显示器认识的——当时我老板的朋友引见姜老师帮我们公司修显示器。那几台显示器是我没修好的（当时我刚开始学显示器），姜老师上手只一会儿就解决了。此后，我逐渐了解了他的情况。我们之间也有几次联手合作维修，配合完美。姜老师是一位难得的研究型维修人员，这与他做教师有关。
    姜志涛老师是专职教师，教计算机的，原来所在的黑龙江省粮食学校2004年与黑龙江省电视大学合并，目前该校已成为黑龙江省电视大学的粮食职业学院了。目前他退休在家，老人很想将自己掌握知识找个合适的人传授给他（可惜我不懂数据恢复）。如果有人想了解数据恢复方面的知识，可以与他联系，特别是哈尔滨的朋友会有机会上门向他求教。但一定请注意：如果你一点基础都没有，那就别问他问题了，这样会耗费他大量时间，他吃不消。而且一般人也难入他的法眼。
这次发的HDT515演示版对硬盘容量做了限制——不超过50G。

软件简介
    为了更方便的进行硬盘的数据恢复及数据分析，本人用汇编语言编写了一套磁盘数据解析工具，使用这套工具，可以更方便的帮助我们实现硬盘数据的“法医式”分析与提取。现有以下几项功能：
    1。硬盘的物理克隆
    在计算机与网络的安全分析、系统破解、以及计算机犯罪调查中，原始素材或物证具有不可替代的作用。在有些情况下，恢复残余文件的操作需要重新制作硬盘分区，属于暴力分析，会改变原有的分区结构，为了保持原始证据的真实性与分析的可重现性，需要对原硬盘信息进行物理克隆，然后，信息的分析与提取工作就可在副本上进行。本工具可对硬盘进行快速复制，也可将指定范围内的扇区复制到任意其它位置，包括单一硬盘的自身复制。最大支持容量为 500，000，000 T 。
    利用此项技术，还可以破解一些加密的系统重做后不能启动的问题，将原系统的硬盘直接进行物理克隆，问题就解决了。
    2。批量扇区比较
    可用于比较某些区块的内容是否相同，发现数据不一致时，显示物理扇区号，并提示是否继续。
    3。硬盘数据清除
    可对指定范围内的扇区数据清零。
    4。数据搜索
    可对某些含有特殊代码的扇区进行搜索，可用于查找 MBR，DBR，FAT，MFT，INDEX 等特殊扇区。查找时，需要指定扇区范围，被查找代码，并指定代码在扇区中的偏移量。
    5。重建 FAT 表
    当分区结构被破坏后，或经过数次重新分区后，原始数据就只能靠手工进行查找与恢复（提取）。这时，可在指定位置重建分区表，DBR 及 FAT ，由于 FAT 表较长，手工填写工作量较大，所以用本工具批量写入，写入时，需要指出 FAT 表的起始位置，FAT 表的长度（扇区数）和格式（FAT 16 或 FAT 32）。
在重写后的 FAT 表中，所有的蔟标识都被占用，且全部连续，没有 EOF （结束），0 （未占用），等。重建了 FAT 表后，即可查找残余文件，将找到的文件名及入口蔟号写入自建的目录中，就能进行提取了。有些 NTFS 分区被破坏后，无法找到 MFT 及 INDEX 时，也可用此方法进行数据的恢复与提取。
    关于手工进行数据恢复的技术请参考本人文章“分析并提取硬盘的残余文件”。
    本工具只能运行于 DOS 环境之下。
    本次5.15版本改善了以下功能：
    （1）增加了输入扇区的数目限制，防止超过磁盘容量。
    （2）解决了数据搜索超过搜索范围的问题。

软件我明天发上来，请等待。

会员2889

文件部分
HDT515演示版.rar (371 KB, 下载次数: 28)

2011-2-25 16:50 上传

点击文件名下载附件

会员153337

现在的硬盘都大过50G

会员9777

回复 宇光 的帖子

下载了,可是如何使用呢,而且是在DOS下选上面的数字项目吗?

会员359745

还是不太会使用看不太明白  学习太垃圾了

会员213441

可以讲详细点  吗    看起感觉吃力

会员112966

东西是很好.不过过时了.

现在硬盘都大于50G.

还有,FAT表重建. 如果原来的簇号分配不是连续的,也不是按顺序的,有可能后面的内容占了前面的簇空间.  除非你知道一个文件的具体内容,然后根据文件内的信息进行全盘搜索.

会员237165

有人指点还是不错的。

会员316725

  最好是一目了然的最好了