Note
某家人形机器人研发科技公司,近期刚完成新款机器人核心图纸与物料清单(BOM),并将这些机密资料存放在内部 FTP 服务器,由研发与运维部门共同管理。研发员工李某受到外部犯罪分子蛊惑,被许诺只要获取图纸与物料清单即可获得高额报酬。在利益驱使下,他利用对内部系统的熟悉绕过权限控制,成功登录 FTP。随后,李某将该文件写入U盘,并故意破坏磁盘的 MBR,使其呈现“无法识别、文件系统损坏”的状态,以制造U盘自然损坏的假象。公司安全人员发现 FTP 在异常时间段出现李某的访问行为,并在他办公桌中找到这块“损坏”的磁盘。该磁盘随即被移交企业运维团队进行进一步取证分析。
MBR结构
MBR(Master Boot Record,主引导记录) 是硬盘最前端的一个特殊扇区(第 0 扇区,512 字节),它在计算机启动和硬盘分区管理中起核心作用。可以把它理解为 硬盘的“启动导航员”。
修复原理
修复实操
注意事项
- 分区类型:
- 起始扇区号
NTFS文件格式的磁盘分区开头是EB5290
搜索EB5290即可获取分区的起始扇区号 - 分区总扇区数
由于U盘中只有一个分区,所以
分区大小=硬盘总扇区数-分区起始扇区号数据分析
原理
根据不同文件格式在二进制层面具有固定且唯一的文件特征(Magic Number) 这一特性,对目标文件进行十六进制分析。
通过定位文件的文件头(Header)与文件尾(Footer),可以在不依赖文件扩展名的情况下,准确识别并分离隐藏文件。
在分析过程中发现,JPEG 文件以 FFD8 作为文件头,以 FFD9 作为文件尾。当在第一张 JPG 图片的 FFD9 文件尾之后,紧跟着再次出现 FFD8 文件头,说明该图片后部被追加并隐藏了另一张 JPG 图片。
继续向后定位第二张 JPG 的文件尾 FFD9,其后紧接着出现 D0 CF 11 E0 的文件头特征,该特征对应 OLE 复合文档格式,表明此处隐藏的是一个 Excel(.xls)文件。
通过依次定位各隐藏文件的起始与结束特征,并将对应数据片段分别提取、重组,最终成功恢复出所有被刻意隐藏的文件,从而深度挖掘并还原了李某相关的犯罪证据。