UFS Explorer Technician:高效处理最具挑战性数据恢复及取证案例
首页 > 数据恢复软件
天津鸿萌科贸发展有限公司从事数据安全服务二十余年,致力于为各领域客户提供专业的数据恢复、数据清除、数据备份、数据取证、数据迁移解决方案,并针对企业面临的数据安全风险,提供专业的相关数据安全培训。
天津鸿萌科贸发展有限公司是众多国际主流数据取证、数据恢复、数据擦除、数据备份及同步软件的授权代理商:UFS Explorer、Miray(HDClone/HDShredder)、Killdisk、Passware、PassMark、ElcomSoft、R-Studio、Systools、GetData、Stellar、ReclaiMe、SyncBack Pro、ViceVersa Pro 等。
UFS Explorer Technician 专为面临最复杂任务和稀有数据存储技术的最苛刻的用户设计。
- 对存储技术的广泛支持
- 最广泛的文件系统覆盖范围
- 具有高级读取缺陷处理功能的多通道磁盘镜像工具
- 支持各种格式的取证磁盘镜像
- 可配置的磁盘读取过程
- 用于磁盘和文件解密的集成算法
- 自动识别硬件和软件 RAID 的元数据
- 具有内部脚本处理程序的多功能 RAID Builder
- 用于处理 SAN 类存储的多种工具
- 广泛的报告选项,包括文件完整性控制
开始执行任务时,您需要创建磁盘镜像以防止数据损坏或硬件故障。由于存在多通道磁盘镜像工具,UFS Explorer Technician 不仅可以快速准确地创建磁盘镜像,而且还支持来自不同供应商的硬件写入阻止程序,以保证数据完整性并保护其免受损坏。该程序还支持为非标准扇区大小创建“完整”磁盘镜像,以便于应用扩展扇区数据的后处理(例如,对于 NetAPP)。还可以创建具有完整性控制(E01 格式)的镜像,以便进一步将它们用作数字证据。
可以将镜像当作原始磁盘进行处理:组装数据卷、搜索丢失的数据等。支持由 UFS Explorer 系列中的程序以及其他制造商(包括竞争对手)的程序创建的磁盘镜像。
该程序支持大量工具,用于组装由各种技术创建的卷:从简单卷或 RAID 卷到多层自动精简配置卷。当所需的工具不可用时,可以通过插件机制添加它。简单通用的交互机制允许用户开发自己的插件。
当卷组装完成后,可以立即访问文件系统的数据:该程序实现了对所有受支持的文件系统进行 “读取”。如果需要查找丢失的数据或在损坏后重建元数据,该程序支持多种卷分析(扫描)模式,包括快速(索引)和深度扫描。
如果数据被加密,程序将能够通过支持大量流行的加密方法对其进行解密,包括 BitLocker、LUKS、Apple 加密等。当然,这需要拥有相应的密码或加密密钥。
可以在界面中对找到的数据进行处理和排序,可以解密支持的文件级加密,并且可以将数据复制到其他介质。此外,数据复制既可以手动启动(逐个文件、逐个目录),也可以以自动或批处理模式启动。在任何情况下,该程序不仅复制数据,还保留文件属性。它还扩展了对报表的支持,包括文件哈希报表。
如果您只需要组装一个卷以供其他软件处理,这也很容易做到:该程序允许您将组装好的卷作为虚拟 SCSI 磁盘安装在作系统中。
UFS Explorer Technician 技术参数
从复杂的 RAID 存储中恢复:
- 自动识别已知的 RAID 元数据,保存和编辑 RAID 配置
- 自动重建 mdadm、LVM、Apple Software RAID、LVM2、NT LDM、APFS Fusion、JMicron(JMS561 等)、OpenBSD BIO RAID、Intel Matrix、DDF1(LSI、Dell、Intel 等)、Silicon Image、DDF2(Adaptec 等)、Dell Equallogic、CAPI(HPE MSA、Dell PowerVault)、NetAPP 等。
- 支持 RAID 0、RAID 1E、RAID 3、RAID 5、RAID 6、RAID 7 等最流行的标准 RAID 模式。
- RAID-on-RAID 支持:RAID 级别 10、50、60 等
- 通过 RDL 或运行时 VIM 支持自定义 RAID 模式
- 支持 ZFS 和 RAID-Z(RAID-Z、RAID-Z2、RAID-Z3)的“条带化”卷
- 使用坏扇区图和存在缺陷(读取错误)对 RAID 5、RAID 6、RAID 5E、RAID 1、RAID 10、RAID 0+1 和嵌套 RAID(级别 50、51、60、61 等)进行自适应重建
- 来自虚拟磁盘的 RAID 组合
- 支持 Drobo BeyondRAID、Synology Hybrid RAID、Btrfs-RAID、Microsoft Storage Spaces、LVM 精简配置卷
- 从RAID 5、RAID 10等降级的Dell EqualLogic存储阵列中恢复,从双倍降级的RAID 6、RAID 60中恢复;卷数据恢复(使用外部插件)
支持的加密技术:
- 常规全盘加密
- LUKS/LUKS2 加密
- Apple FileVault 2 加密
- VeraCrypt (TrueCrypt) 加密
- Apple APFS 卷加密
- BitLocker 和 BitLocker To Go 加密
- OpenBSD BIO
- 加密的 VMDK 虚拟磁盘
- 加密的 macOS DMG 和 sparsebundle 文件
- JMS561 桥接芯片加密(WD MyBook 等)
- 来自带有 Symwave SW6316、Initio 1607E、JMicron JMS538 和 Oxford OXUF943SE 桥接芯片的旧 WD MyBook/MyPassport 设备的磁盘
- 文件级加密 (eCryptFS)
支持的虚拟磁盘和磁盘镜像:
- 使用专用取证工具(EnCase、FTK 磁盘镜像工具等)创建的未加密磁盘镜像 - E01、Ex01、AFF4 等。
- 没有元数据的简单磁盘镜像
- VMware VMDK(包括 seSparse 快照)、Hyper-V VHD/VHDX(包括 AVHD/AVHDX 快照)、QEMU/XEN QCOW/QCOW2、VirtualBox VDI、Apple DMG、Parallels HDD/HDS
- 内部稀疏格式 (SDLSP)
- 支持将卷作为磁盘镜像(适用于 XEN LVM 虚拟磁盘和类似磁盘)
- Synology 稀疏 iSCSI
- 将存储中的分区/文件作为虚拟磁盘打开
- 支持 DeepSpar DDI 镜像
- Runtime Software 的自定义“虚拟镜像”文件
- R-Studio 镜像文件(RDR 文件格式)
- 使用由 MRT 和 ACE Lab 数据恢复工具创建的磁盘镜像(将文件镜像块排序并组合成一个镜像文件)
支持的技术:
- 自动重建:
逻辑磁盘管理器、存储空间、Microsoft 卷重复数据删除、Apple Core Storage、Apple Software RAID、LVM、mdadm、支持的硬件和软件 RAID 元数据。 - 分区结构:
MBR、Apple Partition Map、BSD/Adaptec/Solaris/Unix Slice Map、GPT、Novel、RAID - 识别和提示:
提供分区表、有关 AIX LVM 的Span和条带的信息、HP-UX LVMDrobo 卷的指示、HP EVA、HP LeftHand、Symphony SAN、HPE 3PAR 等。
处理损坏磁盘的方法和方法:
- 按需磁盘镜像:高级读取所需数据,并立即传输到磁盘映像。仅从镜像中重新读取。
- 嵌入式多通道磁盘镜像工具,具有读取方法/超时设置和跳过缺陷的参数
- 通过 DeepSpar Disk Imager 连接的磁盘的直接网络访问和处理,包括通过位图进行成像
- 高级“打开存储”程序,具有驱动器读取配置,并且可以将磁盘直接传递到磁盘镜像工具(无需分区或文件系统搜索)
- 在镜像过程中制作缺陷图
- 在镜像过程中可选择生成低分辨率或高分辨率的熵图
- 将已使用的文件系统空间转换为掩码
- 借助文件系统映射对已用空间进行镜像
- 为磁盘镜像创建坏块的 “动态” (基于模式) 映射
- 使用磁盘镜像而不是原始磁盘(包括来自第三方软件的镜像)
- 使用 UFS Explorer 或兼容的第三方工具(DeepSpar DDI、ACE Lab Extractor、ddrescue 等)创建的坏扇区图定义受损区域
- 与 MRT Data Explorer 交互,包括支持任务文件和对 MRT 数据恢复工具执行的磁盘镜像的控制(通过位图成像、选择特定范围、文件/文件夹等)
补充功能:
- 用于低级数据分析的工具:
用于存储、分区、文件、文件片段的十六进制查看器 字段突出显示数据解释器奇偶校验计算器存储内容比较按位“异或”(XOR/Parity) 函数并行搜索通过地址转换进行数据分配跟踪 通过反向地址转换将数据跟踪到文件具有虚拟偏移量和大小的文件片段视图 - 更改二进制内容的工具:
用于存储和分区的十六进制编辑器从存储中安全擦除数据(用零覆盖,包括借助熵图、SCSI 格式) - 辅助功能,便于存储访问
使用原始 SCSI 命令与 SCSI 设备直接交互 使用原始 ATA 命令与 (S)ATA 设备直接交互,支持某些 USB 桥接芯片SCSI 命令工具,可发出任何自定义 SCSI 命令(解锁、格式化等) - 网络
支持远程访问使用 UFS Explorer(Network RAID、Professional、Technician)创建的 iSCSI 目标和其他第三方 iSCSI 目标。嵌入式 iSCSI 目标(服务器)可以向 iSCSI 客户端(启动器)提供对组装卷的远程访问。 - 数据共享
软件可以将组装的卷挂载为本地虚拟 SCSI 磁盘,以将数据的访问权限共享给作系统或第三方软件(使用 iSCSI)。 - 与存储扫描相关的其他功能:
暂停扫描预览中间扫描结果将任意点的扫描状态保存为“检查点”以返回保存扫描结果以供进一步工作用于一次性数据恢复的全范围存储扫描 扫描过程的可视化 - 使用分区的选项:
自动检测丢失的分区搜索丢失的分区手动定义分区 自动分区对齐 - 报告功能:
交互式 HTML 报告文件夹和文件的基本列表(HTML、CSV、XML)文件和文件夹的扩展报告,可进行文件完整性控制(哈希值、元数据测试)文件片段报告 元数据测试的可恢复数据大小 软件事件日志
UFS Explorer Technician 主要特点
使用多种存储格式
UFS Explorer Technician 提供对完整内容的直接访问,并允许从 Windows(FAT/FAT32/exFAT、NTFS 和 ReFS/ReFS3)、macOS(HFS+、APFS)、Linux(Ext2、Ext3、Ext4、SGI XFS、JFS、ReiserFS、Sun ZFS、Btrfs、F2FS)、BSD/Solaris (ZFS)、VMware(VMFS、VMFS6)以及读取 Novell NetWare (NWFS) 卷、 Novell Storage Services(NWFS、NSS、NSS 64)、IBM/Microsoft (HPFS)、AIX(旧版 JFS1、JFS2)、Xinous OpenServer(EAFS、HTFS、DTFS)、Veritas Storage Foundation(VxFS4、VxFS6、VxFS7)和 Urive (NxFS)。
支持取证和其他磁盘镜像
除了使用各种实用程序创建的普通磁盘镜像外,UFS Explorer Technician 还能够使用专业取证工具(如 EnCase Imager 和 FTK Imager)和专业数据恢复解决方案(如 DeepSpar DDI、MRT DE、R-Studio 等)生成的镜像。该软件可以打开和浏览为特定驱动器、卷或文件创建的镜像的内容,并允许扫描它以查找丢失的信息,就好像它是传统的物理存储设备一样。
证明数据取证可靠性的可能性
该软件提供有关可用/恢复数据的扩展报告,其中包含有关已处理存储、内容、有关每个文件的各种详细信息的信息,例如其大小、创建时间、上次访问和修改、其元数据的状态等。借助校验和可以轻松控制文件内容的完整性 - 在对多个报告中文件的哈希值进行简单的视觉比较后,即使是单个字节的变化也会变得明显。可以使用多种哈希算法进行计算,包括 MD5、SHA1、SHA256、SHA512 等。
许多其他报告选项
该实用程序还允许创建具有文件系统内容的交互式表示的报告,该报告可以轻松传输给第三方并在任何标准 Web 浏览器中查看。此外,该程序还提供许多其他报告类型,例如带有文件/文件夹元数据完整性检查的数据大小报告、各种格式的文件夹和文件的基本列表、最重要软件事件的日志及其详细信息、具有物理和虚拟偏移量的文件片段列表等。
广泛的受支持的存储技术
UFS Explorer Technician 为处理现代存储设备中应用的广泛技术提供了有效的方法。其中包括 Windows 动态磁盘和存储空间、Apple Software RAID、Core Storage 和 Time Machine、Linux mdadm、具有精简配置的 LVM、Btrfs-RAID、ZFS RAID-Z、Drobo 的 BeyondRAID、Synology 的混合 RAID、QNAP 的 Qtier 和其他特定实施。该应用程序还支持 Microsoft 重复数据删除 (Windows Server) 技术,可以使用 NTFS 和 ReFS 恢复从重复数据删除卷中丢失的数据。
即时解锁加密卷
该程序可识别最常见的加密技术,包括 LUKS、VeraCrypt (TrueCrypt)、BitLocker、FileVault 2、APFS 加密和 eCryptFS,只要用户知道密码/加密密钥,就可以访问可用文件并从加密卷或目录中恢复丢失的数据。无需进入作系统并解密驱动器 - 您只需在软件界面中输入密码/密钥,它就会使用它来解码存储以进行进一步作。
访问 RAID 文件和有效的数据恢复
该软件能够自动重建不同的 RAID 模式,包括非冗余 RAID 级别 0 和 JBOD、1 和 1E 镜像、具有专用的 3 级和 4 级以及具有分布式奇偶校验的 5 和 6 级以及嵌套 RAID 设置。一种特殊的语法允许使用各种数据分发算法定义自定义 RAID 配置。该实用程序还可以使用奇偶校验(对于 RAID 5 和 RAID 6)或数据副本(对于 RAID 1)自适应地恢复有缺陷的 RAID 集。RAID 也可以使用磁盘映像重建,并在坏扇区映射的帮助下模拟坏扇区。
使用现代虚拟化系统
UFS Explorer Technician 支持常用虚拟机(包括 VMware、Hyper-V、VirtualBox、QEMU 和 XEN)使用的虚拟磁盘,将它们视为物理设备一样工作,即使它们存储在 RAID 或其他虚拟机上,也可以导航它们或恢复数据。例如,用户可以构建存储 VMware ESX 虚拟机(VMFS 文件系统)的 RAID,直接从 VMFS 打开虚拟磁盘,并直接从虚拟机还原文件,而无需先检索虚拟磁盘。
受控磁盘读取程序
UFS Explorer Technician 可以选择数据访问方法,并在由于 I/O 磁盘错误而无法读取的情况下选择 I/O 超时。“一次性读取”功能可以避免对存储上相同位置的过多读取请求,并将处理后的信息保存到稀疏图像文件中,从而消除故障设备的负载并防止它们发生迫在眉睫的故障。
高级磁盘镜像可能性
该程序允许通过定义存储范围或选择要复制的一组文件来创建磁盘的完整克隆或修改镜像区域。内置的磁盘镜像工具还提供可配置的参数,例如读取超时、块大小、方向、协议和设置,以便在读取尝试失败后处理缺陷区域。在此过程中遇到的故障块显示在映射文件中,读取错误日志可以保存为报告。
定义受损扇区
UFS Explorer Technician 在磁盘镜像过程中创建缺陷图,并与其他兼容的软件或硬件系统生成的缺陷图配合使用。该实用程序可以使用这样的映射来模拟存储上的坏扇区,或者通过查找给定的内容模板来动态识别损坏的块。此外,还可以设置一个掩码,模仿已占用或“空闲”文件系统空间的缺陷,并将此掩码用于磁盘映像、扫描和其他作。遮罩区域也可以用指定的图案填充。
多种类型的扫描
该程序具有多个扫描选项,包括快速扫描特定类型的文件系统、通过已知内容对丢失数据进行更长时间的深入搜索,并可以加载自定义 IntelliRAW 规则、扫描文件系统占用的空间或仅扫描“可用空间”区域。可以暂停扫描过程以查看或保存中间结果,也可以保存最终结果以供进一步使用。
扇区大小突变
虽然通常硬盘驱动器的扇区大小为 512 字节,但某些系统(如 NetApp、EMC、HP 等)采用专有的块格式,从而阻止在没有专用硬件的情况下访问其存储设备上的数据。UFS Explorer Technician 使用非标准扇区大小(520 字节、524 字节、528 字节等)的 SCSI 和 SAS 驱动器,并通过元数据截断执行典型大小为 512 字节的自动扇区转换,以访问文件或执行后续数据恢复作。
支持 DeepSpar Disk Imager
UFS Explorer Technician 支持通过网络直接访问,并允许从连接到 DeepSpar Disk Imager 设备的驱动器中恢复数据,并可以定义读取超时、块大小和其他设置,以实现程序的最大安全性和效率。镜像也可以由 DDI 根据加载到软件中的位图执行。此外,该程序还支持 DDI 创建的“拆分”磁盘镜像。
与 MRT 数据恢复系统的交互
该应用程序与 MRT Data Explorer 兼容,支持由该软件创建的任务文件以及与之相关的缺陷图,并提供对 MRT Express/Ultra 执行的磁盘镜像的控制,包括通过位图成像、选择特定范围、文件/文件夹等。此外,UFS Explorer Technician 允许从 MRT 任务加载文件镜像块,自动对它们进行排序并用必要的垫片填充它们以进行进一步的工作。
用于高效数据分析的广泛工具
UFS Explorer Technician 包含以十六进制模式轻松处理存储、分区、文件或其片段的二进制内容所需的所有工具。具有原始数据检查器、位置书签、结构模板、反向数据地址转换、并行搜索、数据比较和其他功能的多功能十六进制查看器极大地帮助了数据解析,而具有各种有用选项的十六进制编辑器使其可以方便地进行手动编辑。
与 SCSI 设备直接通信
该软件允许用户发出特定的 SCSI 命令,从而在最低级别与基于 SCSI 的存储设备(如企业级硬盘驱动器、RAID 集和其他支持 SCSI 协议的媒体)进行通信。UFS Explorer Technician 中嵌入了特殊的 SCSI 命令工具,可以超越标准作系统交互,以获得必要的控制和诊断功能,这在对有问题的存储执行作时尤其有用。
安全数据处置的方法
该程序包含一个专用的擦除工具,该工具允许用零覆盖所选驱动器上的所有可用数据,以确保它不再包含任何可恢复的信息。还可以通过在先前捕获的磁盘镜像或克隆生成的熵图的帮助下跳过“未使用”区域来加速擦除过程。这种可能性使清理存储并准备进一步使用变得简单,从而降低了与先前案例相关的数据可能泄露或新案例意外污染的风险,而无需单独的第三方实用程序。
通过附加插件实现可扩展性
UFS Explorer Technician 的功能可以通过创建的其他插件来增强,以满足特定存储系统(如 Dell EqualLogic SAN 等)的独特数据恢复要求。下载并激活后,兼容的插件将无缝集成到软件中,并且可以从可用插件列表中访问,就好像它是程序数据恢复工具包不可或缺的一部分一样。用户可以轻松处理为该实用程序提供的插件,从而根据自己的个人需求定制其功能。
何时使用 UFS Explorer Technician
访问文件或处理常见存储介质(硬盘驱动器、USB 记忆棒、存储卡等)的数据丢失。
该实用程序可有效地与各种线性存储设备配合使用,包括内部和外部硬盘驱动器、USB 闪存驱动器、存储卡等,因此可作为处理大多数典型数据丢失情况的重要数据恢复工具,如意外删除文件、存储格式化、恶意软件攻击、硬件或软件故障等。
从复杂的存储系统中恢复数据:RAID 和基于 RAID 的设备
UFS Explorer Technician 是一种高效的解决方案,用于从不同复杂程度的 RAID(软件和硬件)以及各种基于 RAID 的存储(如 DAS、NAS 和 SAN)中恢复数据。此外,该软件还可以从应用特定 RAID 配置的系统执行数据恢复,例如 Drobo BeyondRAID、Synology Hybrid RAID、Btrfs-RAID、ZFS RAID-Z、Dell EqualLogic 和具有对角线 XOR 的 HP MSA。
使用实现特定技术的设备:Apple Core Storage、具有精简配置的 LVM、存储空间等。
该软件通过广泛支持在不同环境中采用的现代存储技术而得到增强。它允许处理复合卷,包括 Apple Core Storage、精简配置的 LVM、MS 存储空间和动态磁盘、去重的 NTFS 和 ReFS 分区、非标准扇区大小的 SCSI/SAS 驱动器、启用自动分层(Qtier 技术)的 QNAP NAS 等,这显着扩展了它可以应用的目标设备列表。
从加密存储中访问或恢复文件:LUKS、FileVault 2、BitLocker、APFS 等。
该应用程序能够解密卷和目录以进行数据恢复和数据访问(如果加密密钥已知)。支持的方法列表包括 LUKS、VeraCrypt (TrueCrypt)、FileVault 2、BitLocker、Apple APFS 加密卷加密和 eCryptFS。
创建有关检索到的数据的取证报告
该程序能够生成有关数据的扩展报告,这可能对取证专家特别有益。此类报告包含可用文件的列表、其属性、使用所选哈希算法为其计算的校验和,以及有关扫描存储的信息、扫描日期和报告创建时间。
从有缺陷的磁盘中检索文件
该应用程序提供了以最高效率从具有损坏扇区或其他硬件问题的存储中恢复数据的可能性。它不仅提供高度可配置的磁盘读取和映像程序,而且还在镜像过程中生成坏块的映射。此外,可以通过识别给定模式或读取由其他兼容解决方案创建的坏扇区映射,在磁盘映像上动态定义虚拟坏块。该软件还允许将已使用或可用的文件系统空间转换为具有缺陷仿真功能的掩码,并将其用于成像/扫描。该程序还支持通过 DeepSpar DDI 进行基于位图的成像。
打开或恢复存储在虚拟机中的数据:VMware、Hyper-V、VirtualBox 等。
UFS Explorer Technician 可有效处理由 VMware、Microsoft Hyper-V、VirtualBox、QEMU、XEN 等主流虚拟化软件创建的磁盘镜像和虚拟磁盘,并成功处理从此类存储中恢复数据,就像它们是普通物理设备一样。
使用任何层次结构的“磁盘上磁盘”存储
该软件能够模仿虚拟化软件的工作,因此无需额外作即可从多级虚拟存储中提供访问和恢复文件。例如,用户可以扫描存储在另一个虚拟磁盘中的虚拟磁盘,并及时检索丢失或从中删除的文件。
重建损坏的文件系统:Windows、macOS、Linux
集成到软件中的一组工具几乎可以有效解决任何逻辑数据丢失的情况,包括最严重的情况。该程序将简单地读取文件系统元数据或进行详细分析并根据文件系统细节、其他文件的分配或文件内容分析来预测文件的分配,以产生最佳的数据恢复结果。