2024年3月21日发(作者:)

FinalData3_0专业版与X-Waysforensics数据恢复效果测试

Final Data 3.0 专业版与 X-Ways forensics 数据恢复效果测试

这两天测试FinalData 3.0专业版的过程中,忽然想到了以前一直

希望做的一件事,就是对比一下各个数据恢复软件、法证工具的各自

优势。因此利用1GB 的一个U盘作了一个测试,保存了一些文件,在

全部删除,分别利用FinalData 3.0专业版和X-Ways Forensics 15.2

进行恢复,看看那个软件恢复的效果好。

不过,利用X-Ways Forensics和Finaldata比较,实在有些不够

公平。FinalData只是一个几千元的民用小软件,只是进行数据恢复的,

而X-Ways Forensics是专业的法证软件,法证功能强出不少。不过,

好在这个测试只是对数据恢复功能的,别的功能暂不比较。等下次有

时间,把FinalForensics 3.0和X-Ways Forensics好好比较一下,再

和Encase 6比较一下,看看其他方面的差别。

现在,看看我的测试结果吧。

1、在这个测试中,为了比较两个软件对删除文件、删除目录的恢

复效果,我在u盘中复制了几个目录和一些文件。其中包含有word文

档、excel文档、jpeg图片、outlook express电子邮件等。同时为了

比较对丢失文件的恢复功能,没有全部擦除u盘,因此原来的盘中还

包含一些图片、视频、写字板文件。通过下图,可以看到Finaldata

3.0专业版找到的文件和原始的目录结构。

2、同时利用Finaldata 3.0和X-Ways Forensics对该盘进行扫

描,发现到丢失的目录和文件。两个软件发现的目录和文件完全相同。

原始目录名丢失,无法恢复,但目录中的文件名称均可正常显示。

FinalData 能够以原始图标显示各种文件,看上去效果比X-Ways

Forensics好一些。

3、转至另外一个丢失的目录,即196936目录,数据仍然一样。

4、在本例中,Excel文件共有6份,两个软件全部成功恢复。

5、对于pdf文件恢复,FinalData恢复回5个文件,而X-Ways

Forensics 恢复回6个。经查看,X-Ways Forensics多恢复的文件中,

有一个文件无法察看。其余文件均相同。

6、比较有意思的是对Word文件的恢复了。下面我们好好看一看。

通过下图,我们可以看到X-Ways Forensics软件正在预览显示一

个Word 文件,内容为案例文件说明。在X-ways Forensics中,这个

文件没有自己的文件名,是X-Ways 通过文件签名从未分配空间搜索

出来的,并自动给他分配的一个文件名。

而在FinalData 3.0中,这个内容相同的文件却有一个中文的文件

名。而这个文件也是从未分配空间搜索出来的,本身不应该具有文件

名了。这是怎么回事呢?难道FinalData能够从别的地方发现文件名?

从文件名这点上,FinalData还是比较不错的。

7、继续看下一个word文件。FinalData同样给另一个文件重新

命名为。如果看看前面的Finaldata恢复的excel文件,

我们也可以发现Excel文件也都被重新命名了。进一步查看了一下这些

文件的属性信息,发现JUJUMAO是这个文件的作者,Ghost也是文

件的作者,而案例文件说明是文件属性中的标题。原来FinalData可以

根据文件属性自动给文件命名,可以直观地通过文件名知道恢复回文

件的一些信息。有助于区分文件。

8、下面的这个图片就能够说明问题了。察看FinalData 3.0的恢

复结果,发现比X-Ways Forensics少了一个文件。这个u盘是我老师

的,而且u盘以前被格式化过,这一篇文章被删除了很久了。X-Ways

Forensics通过文件签名将他找了出来。但是FinalData没有把它找出

来。这可是FinalData的失误了。通过扇区查了一下这个文件,文件头

保存的很好,不应找不出来呀?

9、用Finaldata 将所有的doc文件全部列出来,总计33个。

10、而用X-Ways Fornesics将所有的doc文件列出来,总计26

个。数量要比FinalData少。

对比发现,FinalData发现的文件数量虽然多,但是有重复。不知

道是否同时存在文件的副本,FinalData将副本全部恢复回来了?

11、FinalData对于Office文件的破损率可以进行检测,如果破

损率低,可以在恢复同时进行格式修复。

12、FinalData专业版具有电子邮件恢复功能。通过启动电子邮

件恢复,可以将磁盘中的Outlook Express和Ms Outlook的邮件自

动找回来。本例中,我直接选择了其中的收件箱,并通过“恢复选定

邮件”功能察看邮件。

13、FinalData自动把dbx邮箱打开,可以直接察看邮箱中的邮

件。这个功能可真是不错。几千元的软件具有这种功能可是非常不错

了。这都是上万元的法证软件才有的功能呀!Encase都不能这么察看

邮件吧。

14、可以更清楚地察看邮件内容和邮件原始内容。并以eml格式

将文件保存出来。非常好的功能。

15、但是X-Ways Foensics没有发现出u盘中的视频文件,而

FinalData 却将视频文件找了出来。X-Ways 怎么能够出现这样的失误

呢?

小结:

今天,通过这个测试,可以大致有如下结论:

1、两个软件在数据恢复功能方面,各有优势,也各有不足。X-

Ways Forensics 通过文件签名方式多发现了一份Word文件,

FinalData多发现了视频文件。看来不能完全迷信某一个软件,一定要

配合使用。以后再多做一些测试,看看有没有新的发现。

2、FinalData的操作简单,基本不用学习,对于普通用户更容易

使用。而X-Ways Forensics要能够熟练操作,达到上述结果,至少需

要学习1天吧。

3、FinalData作为一个民用软件,具有上述功能,还可以对电子

邮件、数据库、上网纪录进行察看,的确是超值。而X-

Ways Forensics和其他法证工具也不具备对数据库的分析处理和恢复

功能。看来FinalData 3.0专业版值得计算机取证人士使用。