McAfee研究人员测试Wannacry恢复方式
发布时间:2022-01-19 10:47:50 所属栏目:大数据 来源:互联网
导读:为了应对卫生赎金卫生厂背后的那些明显失败,以向选修赎金支付赎金的受害者的解密钥匙,迈克菲研究人员已经测试了一种潜在的恢复方法。 研究人员首席科学家Raj Samani领导,首席科学家,研究人员已经开发了一种实验恢复方法,可用于恢复文件 - 尽管具有混合
|
为了应对卫生赎金卫生厂背后的那些明显失败,以向选修赎金支付赎金的受害者的解密钥匙,迈克菲研究人员已经测试了一种潜在的恢复方法。 研究人员首席科学家Raj Samani领导,首席科学家,研究人员已经开发了一种实验恢复方法,可用于恢复文件 - 尽管具有混合结果。 McAfee研究人员使用了一个名为“file carving”的文件恢复方法来恢复Wannacry加密数据。在测试期间,某些情况导致几乎完全恢复,而其他案例则效果较低。该方法为受害者提供了一个选择恢复数据的选项,但Samani和研究人员Christianan Beek和Charles McFarland如果事情不按预期运行,他们也不承担任何责任。 “在我们的测试中,我们有一些案例在恢复几乎完全康复和其他地方,其中几乎是零的零点,”他们说。“变量的数量太详尽了,无法列出,但如果备份不起作用,那么它比对您的数据说再见更好。” 在实验恢复方法的核心,是一种称为“文件雕刻”或简单地雕刻的技术,这是从较大数据集中提取数据集合的过程。当分析未分配的文件系统空间以提取文件时,数据雕刻技术通常会发生在数字调查中。研究人员说,使用文件类型的标题和页脚值,从未分配的空间“雕刻”文件。 然而,他们强调文件恢复技术与雕刻之间存在很大差异。 虽然文件恢复技术利用删除文件后保留的文件系统信息,但雕刻处理媒体上的原始数据,并且在其过程中不使用文件系统结构。调查Wannacry代码,研究团队注意到,一旦编写了加密文件,原始文件将被覆盖,并调用FlushBuffersFile。 在监视RansomWare加密时,研究人员观察到在某些操作系统上,除了加密文件之外,原始文件仍然存在,稍后删除原始文件。 对于测试,研究人员使用了运行Windows 7的32位计算机。然后,它们使用从USB棒执行的恢复工具Photorec使用写保护来为原始文件捕捉磁盘的可用空间。 (编辑:鄂州站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
