NAND 数据恢复：使用 VNR 闪存数据恢复软件提取闪存转储中的块

天津鸿萌科贸发展有限公司从事数据安全服务二十余年，致力于为各领域客户提供专业的数据恢复、数据备份解决方案与服务，并针对企业面临的数据安全风险，提供专业的相关数据安全培训。

天津鸿萌科贸发展有限公司是专业 NAND 闪存数据恢复工具 VNR (Visual NAND Reconstructor) 的授权代理商。

文章内容：

1. 检测转储中的块

2. 区域选择的第一种方式

3. 区域选择的第二种方式

4. 提取

5. 备注

6. 提取结果

在 NAND 内存转储中，块是第二个最基本的结构，它们的长度在大多数情况下定义了 XOR 密钥的长度。因此，要解决任何情况的数据恢复，必须知道单个块的长度。寻找转储的子结构并不总是一件容易的工作，有时比较数据块可以作为一个解决办法，或者借以了解数据是如何分配的。因此块提取是 NAND 数据恢复工作中的一项重要技能。

检测转储中的块

我们先假设用户已经获得要处理的转储，并且知道有关转储结构的一切，所以页长度和块大小是已知的。用户要做的第一件事是找到一个在某些方面令人感兴趣的工作块（比如，它有清晰的 XOR 密钥可提取)。

VNR 转储查看器中的位图

要查看块的边界，点击 Highlight blocks 按钮。此选项能够在位图中识别单个块，在使用 VNR 处理转储时，可以在许多情况下提供帮助。

使用 Highlight blocks 显示块的边界

区域选择的第一种方式

在突出显示块后，用户必须找到要提取的块的第一位，并在此位上点击 LMB(鼠标左键)来选择它。点击左键可以在位图中显示起始符号（红十字）。缩小(鼠标滚轮向前)和放大(鼠标滚轮向后)有助于选择正确的点。点击鼠标右键(RMB)显示第二个标记(粉色十字)，代表所选区域的结尾位置。这种定义提取地点的方法可能不太精确。可以使用第二种方式选择块的结尾位置。

使用鼠标左键选择块的第一个位

使用鼠标右键选择块的最后一个位

区域选择的第二种方式

即便用户使用鼠标点击的位不够准确，在提取工具中仍然很容易设置精确的块大小和地址。首先，用鼠标选择目标块之前一个块中的任意一个位，然后点击工具栏上的 Navigator 标签页。

转储查看器工具栏中的 Navigator 标签页

在 Blocks 区域，点击块尺寸区域旁边的绿色字母'B'，随后，该字段将显示表示块大小的字节数。

块字段中定义的数值

然后，点击块大小字段左侧的“带有竖条的箭头”，即可在目标块的起始位置完美地放置红色标记。此操作可以精确地移动到下一个块(本例中的目标块)的开始位置。这是精确放置块的起始标记的操作方法。

提取

完成了区域选择，或至少将开始标记放在正确的地方之后，提取过程几乎就已经完成了。下一步是去 Workspace 标签页点击 Extract area 图标，位于 VNR 窗口的左上角位置。

Extract area 图标位置

点击之后，将显示一个小窗口，显示若干设置项目。

切割区域界面

在此窗口中，选择 Custom 选项 (如果默认情况下没有选择的话)。最后一步是检查 Length 字段数值是否正确。如果只选择块的开头，则长度为1(如上图所示)，但是如果用户选择整个块,则该值必须等于块大小。否则，就必须纠正。

Workspace 工具栏中的结构参数

提取单独块，纠正后的设置

备注

在设定长度时，用户实际上可以指定任何所需数值。例如，上图的例子有三个块，长度是 3x7,041,024字节，即 21,123,072 字节。在 Extract area 区域的长度字段中，如果设置为此数值，则将从转储中提取三个块的长度。这就是仅仅通过修改长度就可以扩大或缩小提取区域的方法。

提取结果

在确认所有设置正确之后，点击上图中的"OK"按钮，在 Workspace 标签页中，将会出现新元素 Offsets，执行提取过程。打开转储查看器，双击此图标，则可以看到，此时的转储已缩短为一个块的大小(或用户定义的任何其他大小)。这不会物理镜像。Offsets 提取工作是实时的,不会保存或覆盖任何数据，因此，如需保存其转储，用户必须手动进行保存操作。Offsets 左面板参数如下图所示：