如果攻击者获得了管理员权限，他就可以直接访问您计算机中的硬盘，因此，他可以从中恢复任何数据。就像“真正的”管理员一样。所以回答你的问题是肯定的。

简短的回答很简单：是的。然而，更长的答案更有趣。如何获取原始数据的细节取决于您的特定基础架构。首先让我们看一下Linux。

Linux 中的原始数据泄露

Linux 有一个出色的工具，叫做“dd”。它是一个程序，可以读取您指定的任何输入并将块级复制到您的输出。所以采用以下语法：

dd if=/dev/sda of=/dev/sdb

这会将所有数据（以 512 字节块为单位）从硬盘驱动器 sda 复制到硬盘驱动器 sdb。从那时起，变化是奇妙的，甚至可以通过网络复制，比如说

dd if=/dev/sda | ssh remotehost 'dd of=/dev/sdb'

您可以使用 dd 进行许多排列，但它们都会导致源磁盘完全重复。由于它非常灵活，我在内部取证调查中多次使用它。它所需要的只是对与您要复制的驱动器相对应的块设备的读取访问权限。除非在非常特殊的情况下，拥有 root（或管理员）访问权限将授予您此权限。

Windows 中的原始数据泄露

您感兴趣的另一个可能的情况是 Windows。这不是我能得到的具体内容，因为 Windows 不是我的专业领域，但我知道同样的基本事实是有效的。管理员访问权限赋予您执行此操作的权限。要参考商业产品，让我们看看 EnCase Enterprise。

EnCase 是一种商业取证工具，广泛用于执法。通常，您会在取证站上运行该应用程序，因为它需要获取和分析系统所需的各种繁杂的钟声、口哨和繁琐的鲍勃。然而，企业版允许以客户端/服务器模式运行系统。也就是说，给定计算机上的管理员权限，您安装一个 EnCase 代理，它将对客户端计算机进行合法的克隆并将副本存储在您的服务器上。虽然这是一个商业解决方案，但它是一个特定示例，说明在计算机上获得管理员权限后，如何对存储在远程位置的硬盘驱动器进行块级复制。听到有免费工具可以做到这一点，我不会感到惊讶。