大多数全盘加密产品都会修改主引导记录 (MBR) 或卷引导记录 (VBR) 以指向并执行其代码，以便对数据进行解密。有些产品可能会完全取代这些。

在每种情况下，通常都会添加一个与所使用的加密产品相关的标识符。

在我们的例子中，驱动器没有物理问题。RAW 恢复找不到任何文件，但扇区有数据。

当我们在 Data Extractor 中创建任务并打开文件树时，我们可以看到下图。

NTFS 启动被识别，但我们无法打开文件结构。

对于可视化分析，打开分区的第一个扇区。

在 MBR 中标记为 NTFS 引导的扇区 2048 包含“垃圾”数据。

扇区 63（NTFS 启动的其他可能位置）也有“垃圾”数据。

然而，如果我们回到扇区 62，那么我们可以看到扇区 62 被零填充。

这种情况的可能原因之一是加密，即带有数据的扇区的内容被修改，但带有零的扇区之一仍然相同。

要验证它，请使用 MBR 转到扇区 0。

在扇区偏移 3 MBR 处，可以找到产品标识符“ H PGPGUARD ”。十六进制值“ EB 48 90 50 47 50 47 55 41 52 44 ”。Symantec PGP Whole disk Encryption 软件使用此模式。