您当前的位置:首页 > 技术文章

数据恢复与取证:VNR File Assembler,解决 NAND 碎片文件恢复难题

时间:2024-10-13 13:39:14

  • 天津鸿萌科贸发展有限公司是专业闪存数据恢复工具 VNR (Visual NAND Reconstructor) 的授权代理商。
VNR File Assembler 解决 NAND 碎片文件恢复难题
NAND 控制器按逻辑块以混合顺序将数据写入存储芯片。因此,从此类混合转储中恢复文件将会失败,因为文件可能从一个块开始,然后在位于其他位置(不一定是紧随其后)的另一个块中继续。结果,大于一个逻辑块的文件将无法恢复,并且文件系统将不可用。这就是为什么将混合块排列成逻辑顺序(与它们在逻辑镜像中的位置相同)是从基于 NAND 内存的设备恢复数据的最后一步。之后,大文件就可以恢复,并且文件系统可能可用。然而,在某些情况下,不可能按逻辑顺序排列块,而 VNR File Assembler 是专门为从这种情况下恢复碎片文件而设计的工具。它扫描所有块以查找文件碎片,然后将适当的块放在一起。
另外一种可以使用 VNR File Assembler 的场景是当存在大的碎片文件(例如视频文件),并且文件系统丢失或损坏,使得大文件的分配情况未知的时候。在这种情况下,常规雕刻(原始恢复)仅能提供损坏的文件。
VNR File Assembler 文件整合技术
文件系统元数据和文件属性分析
该技术分析文件系统元数据和文件属性的残留,使用先进的方法确定逻辑块号并组装原始文件结构。该软件支持以下文件系统:FAT16、FAT32、exFAT 和 NTFS。

点击输入图片描述(最多30字) ZIP 存档内部组件
该技术扫描 ZIP 容器文件的内部组件并重新创建原始存档结构。它对于恢复碎片办公文件非常有用,这些文件本质上是 ZIP 存档,包括:DOCx、XLSx、PPTx、ODT、ODS、ODP 和 ZIP。

点击输入图片描述(最多30字) 多媒体文件智能视觉内容分析
这是 VNR File Assembler 的旗舰技术。它从整个转储中收集所有零散的多媒体文件片段,然后对这些片段执行智能视觉内容分析。之后,它根据显示的图像组装文件。这就像通过检查转储中的每张图片和视频片段来手动组装拼图一样。

点击输入图片描述(最多30字) 整合方式
如前所述,VNR File Assembler 对于具有混合逻辑块的情况以及具有排列块(正常逻辑镜像)但具有不可用文件系统和大碎片文件的情况非常有用。第一种情况应选择混合块模式,第二种情况应选择排列块模式。下面有关于这些模式的更多详细信息。
混合块模式:

点击输入图片描述(最多30字) 该模式按逻辑块组装文件。它专为东芝和 SSS 设备等情况而设计,在这些设备中,由于备用区域中缺少逻辑块编号,因此无法进行块转换。用于组装的块大小在“Block size w/o SA”字段中指示(无服务区的块大小)。带有服务区的块大小对于创建虚拟块表是必需的。在大多数情况下,这两个值都是自动设置的。
排列块模式:

点击输入图片描述(最多30字) 此模式通过排列逻辑块(逻辑映像)的转储中的簇来组装碎片文件。当组装了正确的逻辑图像,但文件系统已损坏或丢失,并且转储包含大的碎片文件时,例如,从文件系统丢失的摄像机的格式化存储卡中恢复数据时,它非常有用。
支持的文件格式
下表是受支持的文件格式及其适当的整合模式。

点击输入图片描述(最多30字) ZIP 和 PDF 文件仅由块整合。图片可以通过块和簇来整合。并且视频文件仅按簇整合。
文件系统选择


点击输入图片描述(最多30字) 使用 VNR File Assembler 时,选择正确的文件系统(如果已知)非常重要。 通过选择正确的文件系统,该工具将在分析过程中忽略存储设备上任何其他不必要的文件系统。这将有助于通过仅关注相关文件系统来提高分析的准确性和效率。如果没有设备上使用的文件系统的信息,则应选择“未知”选项。
整合选项

点击输入图片描述(最多30字) 基本扫描
在此扫描期间,VNR File Assembler 会从整个转储中收集有关所有文件碎片和文件系统残留的信息,以供进一步分析。它还创建一个块表 XML 文件,可以将其上传到 Markers 表元素,以便重新创建原始文件系统。
ZIP 分析
基于 ZIP 的碎片和未碎片文件:ZIP 存档、Microsoft Office 文件、Open Office 文件将在此扫描中恢复。
Pictures by Blocks
碎片和未碎片的图片在此阶段由逻辑块整合而成。
Pictures by Clusters
碎片和未碎片的图片由簇整合。
Video by Frames
视频文件在此扫描中按帧恢复。
根据所选的整合模式,可以使用不同的扫描组。混合块模式允许运行两种图片扫描。在这种情况下,图片将首先按块整合,然后将仍然碎片的图片按簇整合。此模式应用于混合转储,例如 Toshiba、SSS 等。
Arranged Blocks 模式仅允许按簇整合图像。此模式仅适用于需要通过文件系统文件来恢复碎片文件的逻辑镜像。当文件系统不可用时,这种模式对于具有较大原始格式图片的情况可能很有用。
扫描结果

点击输入图片描述(最多30字) 在扫描结果部分,可以保存分析结果以便稍后加载。如果需要关闭或重新启动任务,此功能可以避免再次分析并节省宝贵的时间。
使用缓存文件

点击输入图片描述(最多30字) 当对逻辑镜像元素执行分析并且之前有复杂的转换时,建议使用“使用缓存文件”选项。在这种情况下,该工具将在基本扫描上创建逻辑转储的副本,然后在所有后续扫描中使用该缓存的镜像。建议使用良好的 SSD 驱动器作为缓存存储,以确保最佳性能。
但是,如果直接对存储在快速存储上的转储进行分析,则在缓存中创建此转储的副本是没有意义的,并且应禁用该选项。这样能确保高效、快速地运行分析,而不会出现不必要的数据重复。
标记恢复的文件

点击输入图片描述(最多30字) 未碎片化 - 最初未碎片化的文件放置在此类别中。
双碎片 - 由两个碎片组成的良好恢复文件放置在此处。
碎片 - 包含两个以上碎片的良好恢复文件属于此类别。
位错误 - 具有位错误的未碎片化图片。
不可恢复 - 无法整合的文件。
整合工作的结果
1. 文件
2. 整合结果.xml
一个“保存”文件,其中包含汇编程序完成所有程序后创建的汇编程序工作的所有结果 。稍后可以上传以恢复扫描结果。
3. 汇编块table.xml
可以上传到标记表元素以重新 创建原始文件系统的块表。
案例1. 保留区中无 LBN 的东芝控制器
这种特殊情况的解决方案非常简单 - 只需应用 XOR 和 ECC

点击输入图片描述(最多30字) 但由于系统保留区中没有 LBN,所以无法按升序排列逻辑块。在数据区域元素上运行的文件雕刻器(从物理转储中删除服务区域)显示的结果非常差,因为块仍然是混合的,因此文件是碎片化的。

点击输入图片描述(最多30字) 但是,在此运行 VNR File Assembler 则可以产生更好的结果。它恢复了 283 张优质图片,而标准原始恢复则仅恢复了 190 张。
案例2. 索尼 A73 相机格式化 SD 卡
这是一种相当常见的情况,即有人不小心在相机中执行了 SD 卡的快速格式化。因此,任何逻辑恢复软件都无法恢复任何内容,因为该卡似乎已完全格式化并填充了零。然而,如果我们绕过控制器并通过 NAND 接口读取物理转储,我们会发现卡仍然充满数据。因此,通过绕过控制芯片的方法,可以检索数据并获得内部包含原始视频文件的逻辑镜像。然而,尽管这些文件存在于镜像中,但它们仍然无法访问,因为原始文件系统已被新文件系统覆盖,而新文件系统本质上是空的。

点击输入图片描述(最多30字) 即使使用流行的逻辑恢复软件执行原始恢复,结果也并不令人满意。尽管块按逻辑顺序排列,但由于文件较大,文件仍呈碎片化。

点击输入图片描述(最多30字)


点击输入图片描述(最多30字) 另外,VNR File Assembler 能够从同一转储中恢复 365 个视频文件。