案例研究 · 取证 · 已删除的 wallet.dat 文件
从损坏的硬盘中恢复钱包
该钱包文件早在几年前就被删除了,而且该硬盘也无法再启动了。这些代币并没有丢失——只是被埋没了。
概览— 钱包:Bitcoin Core(已删除 wallet.dat 文件)· 问题:文件被删除、硬盘故障 · 方法:取证镜像 + pywallet 数据提取 + 密码搜索 · 结果:钱包已恢复· 费用:按成功计费
情况
客户记得曾在一部旧电脑上运行过比特币核心(Bitcoin Core),随后删除了钱包,后来该硬盘本身也出现了故障。作为最后的手段,他们将这块硬盘寄到了我们的实验室。
挑战
问题接踵而至:硬盘无法稳定挂载,而且钱包文件已被删除。但在硬盘上,已删除的数据通常会一直保留,直到被新数据覆盖为止——因此,如果磁盘盘片仍可读取,那么在空闲区域中,wallet.dat 文件很可能仍然可以恢复。
我们是如何找回它的
我们对出现故障的硬盘进行了取证镜像,以便基于一个稳定的副本进行操作,随后使用pywallet对整个镜像进行扫描,以提取 wallet.dat 文件片段和散落的私钥。在重建钱包文件后,通过基于线索的搜索找回了密码并解锁了钱包。
结果
客户的比特币已被转移到一个新钱包中,完全脱离了旧存储介质。按成功结果收费,无需预付任何费用。注意:在固态硬盘(SSD)上,TRIM命令可以永久清除已删除的数据,因此结果因存储介质而异——我们会先对每个设备进行评估。
你有类似的情况吗?
