硬盘MBR被修改？DiskProbe隐藏扇区数据的发现和提取工具

网吧客户机硬盘MBR被修改？

DiskProbe可以发现硬盘隐藏扇区数据

隐藏扇区数据的发现和提取。对于逻辑分区最后簇以外的扇区、物理盘分区表中的保留扇区和物理盘总扇区数以外的扇区，文件系统不能访问。DiskProbe可以浏览和保存这些扇区，发现和提取可能的隐藏数据。

发现、显现并提取文件操作（增加、删除、修改、移动等）的痕迹。复制(包括正常文件的复制)时保全文件的创建时间、修改时间、和最后访问时间；对显现的信息提供归档功能，提供侦查线索和证据数据。取证过程不改变取证对象的数据。

上传的附件：

diskprobe.zip (159.67 KB, 下载次数: 3101)

2011-9-23 14:22 上传

点击文件名下载附件

-------------------------------------------

------------------------------------------

DiskProbe的其他性能指标：

1.分区的发现。包括现有分区表和重新分区前的分区。

2.分区类型和参数的恢复。包括损坏的分区参数的恢复和重新格式化（尤其是改变分区参数或类型的格式化）后分区参数和类型的恢复。

3.格式化或删除文件后文件的恢复。包括根据文件的目录属性恢复文件、根据不同文件类型的数据特征恢复文件和残缺DOC文档的数据恢复。

4.发现、显现并提取文件操作（增加、删除、修改、移动等）的痕迹。复制(包括正常文件的复制)时保全文件的创建时间、修改时间、和最后访问时间；对显现的信息提供归档功能，提供侦查线索和证据数据。取证过程不改变取证对象的数据。

5.隐藏扇区数据的发现和提取。对于逻辑分区最后簇以外的扇区、物理盘分区表中的保留扇区和物理盘总扇区数以外的扇区，文件系统不能访问。DiskProbe可以浏览和保存这些扇区，发现和提取可能的隐藏数据。