Недавно я имел дело с некоторыми компьютерами, зараженными вымогателями, с зашифрованными пользовательскими файлами. Моя работа заключалась в том, чтобы либо расшифровать эти файлы (если это возможно), либо восстановить как можно больше используемых файлов. Это включало также удаление файлов из образов разделов NTFS.
Конечно, я уже знал инструменты "foremost" и "ntfsundelete", и раньше я использовал их для других задач. Однако сейчас у меня есть проблема с ними.
Проблема заключается в том, что оба эти инструмента пытаются восстановить все возможные файлы, включая те, которые уже перезаписаны (частично или полностью). Такое поведение, вероятно, очень полезно в лаборатории судебной экспертизы, где даже небольшие части изображений / фильмов / документов могут рассматриваться как доказательства. Однако в моем случае использования мои клиенты заинтересованы в том, чтобы вернуть только полностью восстановленные файлы, и у них нет времени, чтобы выбрать их среди тысяч поврежденных.
(Я также знаю, что ntfsundelete имеет ключ -p, но во многих случаях он работает недостаточно).
Итак, мой вопрос: каков наиболее эффективный по времени способ автоматического восстановления удаленных файлов из разделов NTFS, избегая восстановления поврежденных / перезаписанных файлов?