| 1、实验方法与步骤:
1、首先使用VMware虚拟机软件将病毒分析虚拟机打开,然后在虚拟机中安装PowerQuest硬盘分区软件,使用该软件调整C盘空间大小,从C盘中划分出一块200MB大小的空间,并命名为D分区。 2、将老师下发的FinalData软件和WinHex软件拷贝到虚拟机中桌面上,分别解压缩。将老师下发的test.pdf文档拷贝到D分区中,然后删除test.pdf文档,并用FinalData软尝试对D盘进行数据恢复,恢复到C盘根目录下,并尝试打开,验证恢复效果。 3、打开WinHex工具主程序(winhex需要用文件包里的keygen注册一下,否则不能用):WinHex.exe,按照 工具->打开磁盘->D盘的顺序打开D盘,然后点击 编辑->填入磁盘扇区, 分别采用“用16进制数值填充”、“用随机字节填充”“模拟加密数据”三种方式填充,填充后使用FinalData数据恢复软件对D盘进行扫描,尝试恢复数据。 四、思考题 1、为什么用16进制数值填充、用随机字节填充或用模拟加密数据填充之后,就无法再恢复数据? 2、什么情况下数据可以成功恢复?什么情况下不能? 1. 由于无法设置名称为D,此处就将其设置为E
2、使用FinalData软件尝试进行数据恢复
找到所需文件
使用WinHex软件成功恢复
3、使用WinHex软件尝试对数据进行填充
十六进制填充:
随机字符填充:
模拟加密数据填充:
填充后使用FinalData数据恢复软件对D盘进行扫描,尝试恢复数据
发现无法恢复 四、思考题 1、为什么用16进制数值填充、用随机字节填充或用模拟加密数据填充之后,就无法再恢复数据? 1、用16进制数值填充、随机字节填充或模拟加密数据填充的目的是为了覆盖原始数据,使其不再可恢复。这是一种数据销毁或数据安全擦除的技术。 16进制数值填充:数据转换为16进制数值,然后用特定的数值填充。由于数据已被转换为不可识别的形式,并且填充了特定的数值,原始数据将无法恢复。 随机字节填充:在这种情况下,随机生成的字节被用来填充原始数据。由于填充的字节是随机的,不具有任何可预测性,因此几乎不可能通过分析来恢复原始数据。 模拟加密数据填充:这种方法涉及将数据视为加密文本,并使用特定的算法对其进行填充。填充后的数据看起来像是加密的数据,但实际上并没有用任何密钥进行加密,因此无法还原回原始数据。 这些方法都是为了确保原始数据无法被恢复。当数据需要被永久删除或不希望被他人恢复时,这些方法非常有用。 2、什么情况下数据可以成功恢复?什么情况下不能? 2、 数据可以成功恢复的情况: (1)备份完整:拥有完整的数据备份,并且在数据丢失或损坏后仍然可用,那么数据恢复将相对简单和成功。 (2)删除方式:简单地删除了文件或文件夹,并且没有覆盖其存储空间,那么使用数据恢复工具通常可以找回这些文件。 (3)硬件故障:某些硬件故障(如硬盘驱动器故障)可以通过更换部件或专业数据恢复服务来恢复数据。 (4)软件问题:由于软件错误或病毒攻击导致的数据丢失,有时可以通过重新安装软件、运行杀毒软件或数据恢复软件来恢复。 (5)格式化错误:如果错误地格式化了硬盘或分区,但在格式化后没有写入大量新数据,那么可能可以恢复大部分或全部数据。 (6)快速响应:在数据丢失后尽快采取行动,避免在丢失数据的存储介质上写入新数据,可以提高数据恢复的成功率。 数据不能恢复的情况: (1)物理损坏:如果存储设备(如硬盘驱动器)受到严重的物理损坏,如电路板烧毁、磁盘破裂或盘片划痕等,可能无法恢复数据。 (2)多次覆盖:在数据丢失后,如果在同一存储区域上多次写入新数据,可能会覆盖原始数据,导致无法恢复。 (3)加密或压缩:如果数据在丢失前被加密或压缩,并且没有可用的解密密钥或压缩密码,那么恢复的数据可能无法访问或解压。 (4)损坏的文件系统:如果文件系统损坏到无法读取的程度,可能需要专业的数据恢复服务,但即使这样,也不一定能保证数据可以完全恢复。 (5)人为错误:在某些情况下,由于用户误操作(如误删除、误格式化)导致的数据丢失可能无法恢复,特别是如果后续在该区域上写入了新数据。 (6)长时间未采取行动:在数据丢失后长时间不采取行动,可能会增加数据被覆盖的风险,从而降低恢复的成功率。 |
| 2、实验总结: 本次实验是有关数据恢复和安全擦除的实验,熟悉并了解了PowerQuest、FinalData、WinHex软件。软件硬盘分区调整:成功使用PowerQuest软件对虚拟机硬盘进行了分区调整,划分出了D分区。数据恢复测试:在未对D盘进行任何填充操作前,FinalData软件成功恢复了test.pdf文档,文档内容完整,可正常打开。磁盘扇区填充与恢复测试:使用“用16进制数值填充”和“用随机字节填充”方式后,FinalData软件未能恢复出有效的test.pdf文档。 使用“模拟加密数据”填充后,同样无法恢复出有效的数据。后上网搜索相关知识,得出 数据恢复的成功与否取决于数据是否被覆盖或损坏。在数据被删除但未被覆盖的情况下,通过数据恢复软件通常可以找回丢失的文件。填充方式对恢复效果的影响:当使用“用16进制数值填充”和“用随机字节填充”方式填充磁盘扇区时,原有数据被新的数据覆盖,导致无法恢复。“模拟加密数据”填充虽然不会直接覆盖原有数据,但加密后的数据对于数据恢复软件而言是不可识别的,因此也无法恢复。数据恢复的条件:可以成功恢复的情况:在数据删除后,未对存储介质进行大量写入操作,数据未被覆盖或损坏。不能恢复的情况:数据被覆盖、存储设备物理损坏、数据被加密且无法解密等。 |
想总结一下做实验的方法总结
老师讲课,讲完课后花一定的时间(具体是20分钟,后续可根据自己的实际情况再进行修改)自己搜索资料, 自己摸索。如果花时间,自己思考后,并且尽自己所能尝试过所有的方法的时候,还做不出,那就请教同学(注意态度亲和,XXX,这个做不出来能不能教教我呀[狗头]),学习通私信老师也行,请教说出自己的难处,当然直接找老师效率会高一些,加油加油,再积极一点,再强大一点,提高自己解决问题的能力。
愿你有前进一寸的勇气
亦有后退一尺的从容
与诸君共勉~
588
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
