复制文件需要权限 (复制文件需要权限怎么办)

数据恢复环境:

某公司一台PC通过存储公司的重要数据,存储公司的重要数据WINDOWS网络共享,这个PC它还连接到打印机,许多员工有权复制这个数据PC上打印。

故障情况&分析:

这台PCF盘的所有文件都无法打开,具体故障如下:

1.文件名称、时间、路径和磁盘占用空间没有问题。

打开任何一张jpg图片提示:图片提示:windows由于照片查看器不支持文件格式,或者您没有照片查看器的最新更新,照片查看器无法打开此图片。

3、打开任何doc文件提示:";请选择文档可读的编码";,不能选择任何代码。

4、打开任何docx文件提示:";由于内容错误,无法打开文件"。

5、打开任何xls提示:您尝试打开的文件的格式与文件扩展名指定的格式不一致。打开文件前,请验证文件未损坏,源可信。

6、打开任何xlsx都提示:";由于文件格式或文件扩展名无效,请确保文件未损坏,文件扩展名与文件格式匹配"。

7、打开任何PDF文档提示:打开文档时出现错误,文档损坏且无法修复。

8.其他类型的文件不能正常打开。

管理员从互联网上下载了一些试图恢复的数据恢复软件,但没有成功解决问题。联系当地数据恢复服务提供商未能成功恢复,最终联系我们的数据恢复中心。

我们的数据恢复工程师分析和判断故障:

1.存储只是单盘,排除RAID这种故障可能发生在旧板同步后。

2.检测后发现,除F盘外,其他分区数据完全正常,硬盘在其他数据恢复服务提供商中未发现物理故障。排除物理故障导致这种故障的可能性。

3.未启用任何加密。排除加密链丢失后直接访问密文的可能性。

4.未使用第三方软件调整和合并分区大小。排除因PQ(Norton PartitionMagic)、DiskGenius, Acronis Disk Director Suite这种故障的可能性是由软件调整和合并分区错误引起的。

5.检测后未发现操作系统故障。排除因病 持有所有可执行文件或加入文件系统拦截层可能导致此故障。

6.未发现其他异常操作。最后,北亚数据恢复工程师推断,这种故障是由病毒或木马引起的。

我们以前也遇到过很多类似的案例,通常这种破坏并不复杂和可逆。与用户沟通后,将硬盘发送到北亚数据恢复中心。

数据恢复方案:

1.将用户硬盘连接到安全操作环境(不加载磁盘符号,不自动编写数据,完全只读),发现文件系统底部完全正常,但数据区域完全错误。以一个PDF例如,用工具打开文件:


北亚数据恢复-文件打开报错数据恢复


一个正常的PDF文件的二进制结构必须是0x46445025(即ASCII的“%PDF)作为开头标志,但本文件为0x71736712开始。通过计算两者之间的差异(差异或)0,这显然是一种差异或转换x37。观察这个PDF同样的篡改发现在文件的末尾。

所以在工具中选择这个PDF对于文件的所有内容,选择0块x37做字节异或(xor):


北亚数据恢复-文件打开报错数据恢复

北亚数据恢复-文件打开报错数据恢复


保存后打开,文件正常。

2.分析其他类型的文件,发现篡改算法是所有文件对某个值的xor,但是这个值不确定。按字节概率计算值应有256种可能性,文件数量和类型较多,不可能手动修改,需要分析xor加数的生成规律。分析过程如下:

a、在同一路径下打开不同的文件分析篡改的不同或加数,发现不同,排除与路径相关。

b、查找所有文件,按名称排序,找到相同文件名称但大小不同的文件,打开后分析篡改的不同或加数,发现不同,排除与文件名称相关。

c、找到几个不同类型的文件,分析篡改的不同或加数,发现不同,排除与类型相关。

d、在WINHEX篡改的异数或加数根据不同文件的起始位置进行分析,未发现相关性,排除与存储的物理位置相关。

e、查找头部相同的文件(同一文件有不同的更新,头部相同)进行分析,排除与文件头部相关。

f、不太可能推断与尾部相关。(当然,如果后面的分析仍然没有规律,则需要返回此项进行验证)

g、分别查找相同的创建时间、相同的访问时间和相同的最后一次访问时间的两个文件进行分析,发现与文件创建时间无关。

h、推断是否与大小有关:经过简单验证,没有反例推翻,但需要充分证明与大小有关,同时需要足够的样本才能获得算法。

3.验证是否与大小有关:

首先通过LINUX命令打印所有文件的大小:

find ./ |xargs ls -ld 2>/dev/null|awk ' rintf($5"\ \ "$9"\ ");}' >../list.txt

然后用excel打开此列表文件,如下图:


北亚数据恢复-文件打开报错数据恢复


因篡改的异数或加数只有一个字节,如果与大小有关,很可能是文件的大小mod 256后的关系是对应的,所以在excel计算所有文件的大小值mod 256,如下图:


北亚数据恢复-文件打开报错数据恢复


对mod 排序256值,excel可以直接实现,但至少可以复制整列,然后用数字粘贴:


北亚数据恢复-文件打开报错数据恢复


排序后如下图所示:


北亚数据恢复-文件打开报错数据恢复


对相同mod 篡改验证文件256,未发现不符合规定的,篡改值基本确定mod 256值有完全映射关系。在对所有可能的抽样进行分析后,得到篡改或加数的生成规律:


北亚数据恢复-文件打开报错数据恢复


到这一步,我们已经搞清楚了篡改算法,更容易纠正算法。

数据恢复过程:

北亚数据恢复工程师开始编写修复程序,修复程序的源代码如下:

北亚数据恢复-文件打开报错数据恢复

北亚数据恢复-文件打开报错数据恢复

北亚数据恢复-文件打开报错数据恢复


数据恢复验证:

程序运行完成后,抽样文件无报错。为了进一步确定可靠性,找出一切JPG文件均显示缩略图,无异常。为了进一步确定可靠性,找出一切JPG文件均显示缩略图,无异常。


北亚数据恢复-文件打开报错数据恢复


查找出所有doc文件,显示作者,标题,未发现异常。管理员亲自抽样其他类型的文件,无异常。到目前为止,算法正确,数据恢复成功。


北亚数据恢复-文件打开报错数据恢复


电脑知识