实验十五:数据恢复原理实验
目录
一、实验目的及要求
通过实验理解数据存储机制,掌握基本的数据灾难备份和恢复工具,了解信息隐藏与检测相关知识。
二、实验原理
1.硬盘存储原理
硬盘存储是指以硬盘为存储介质的存储方式,是一种采用磁介质的数据存储设备,数据存储在密封于洁净的硬盘驱动器内腔的若干个磁盘片上。这些盘片一般是在以铝为主要成分的片基表面涂上磁性介质所形成,在磁盘片的每一面上,以转动轴为轴心、以一定的磁密度为间隔的若干个同心圆就被划分成磁道(track),每个磁道又被划分为若干个扇区(sector),数据就按扇区存放在硬盘上。在每一面上都相应地有一个读写磁头(head),所以不同磁头的所有相同位置的磁道就构成了所谓的柱面(cylinder)。
2.winhex
winhex是一款以通用的 16 进制编辑器为核心,专门用来对付计算机取证、数据恢复、低级数据处理、以及 IT 安全性、各种日常紧急情况的高级工具: 用来检查和修复各种文件、恢复删除文件、硬盘损坏、数码相机卡损坏造成的数据丢失等。
3.Final data
FinalData具有强大的数据恢复功能当文件被误删除(并从回收站中清除)、FAT表或者磁盘根区被病毒侵蚀造成文件信息全部丢失、物理故障造成FAT表或者磁盘根区不可读,以及磁盘格式化造成的全部文件信息丢失之后,FinalData都能够通过直接扫描目标磁盘抽取并恢复出文件信息(包括文件名、文件类型、原始位置、创建日期、删除日期、文件长度等),用户可以根据这些信息方便地查找和恢复自己需要的文件。甚至在数据文件已经被部分覆盖以后,专业版FinalData也可以将剩余部分文件恢复出来。
三、实验环境
Windows操作系统,winhex,final data
四、实验步骤及内容
实验步骤一
任务描述:用Winhex查看硬盘信息
1、为虚拟机添加一块硬盘
登录到实验主机上。右击“我的电脑”->“管理”,见下图:
点击磁盘管理,会出现磁盘初始化和转换向导,利用向导添加一块新的磁盘,如下图:
点击下一步选择要初始化的磁盘,默认即可:
选择要转换的磁盘,勾选“磁盘 1”:
下一步直至完成:
完成添加过程后会发现多了一块磁盘1,如下图:
在新添加的动态磁盘上创建卷:
所有选项均默认,直至完成向导,等待格式化完毕后在“我的电脑”会显示新的磁盘
2、安装winhex
打开桌面tools\WinHex文件夹,双击运行WinHex程序,出现如下窗口:
3、使用winhex打开硬盘,分析硬盘信息
点击tools—>open disk,出现下图:
打开物理磁盘C盘,可以查看与编辑硬盘信息。
找到第一扇区末尾:000001F0处,查看末尾标志是否为55AA。
4、根据看到的信息,查找资料,分析硬盘的分区信息。
实验步骤二
任务描述:用Winhex找回被删除文件
1、建立反删除目标文件
关闭winhex,打开D盘(新建立的分区),建立一个文本文件,命名为:datarestore.txt,并添加内容。
保存之后,删除文件。删除后可以到E盘上查看,目标文件已经没有了。
2、找回文件
打开winhex,点击tools—>open disk,打开D盘:
点击Specialist—>refine volume snapshot 获取卷快照,也可以按快捷键F10
勾选“获取新快照”与“彻底搜索文件系统数据结构”,然后点击“确定”:
可以看到winhex自动查找硬盘文件系统,查找后找到被删除文件,被删除文件与存在的文件颜色不同:
右键该文件,点击恢复/复制
选择一个路径保存文件,打开恢复的文件,查看内容是否成功恢复。
实验步骤三
任务描述:用Final data恢复被删除的文件
1、打开桌面上tools\finaldata文件夹,找到应用程序“FdWizard”
打开该程序,显示主界面如下图,选择“恢复删除/丢失文件”:
注:将鼠标移动到相应功能按钮上,即可查看相应功能说明。
选择恢复已删除文件
将出现“选择驱动器”界面:
选择需要扫描的驱动器,然后点击“扫描”,一段时间后会出现以前删除过的文件,勾选目标文件的复选框,可以“预览”,如下图:
可以看到文件的内容与被删前无误,也可以点击恢复选择一个路径保存文件再查看
五、实验总结
通过这次试验理解了数据存储,并且使用了winhex,final data对数据进行恢复,知道了原理已经彻底删除的文件也是可以找回的
六、分析与思考
1)试着把D盘格式化后,分别用winhex和final data恢复被删除的文件,看能否恢复成功。
Winhex不能恢复,,final data可以但是文件名改了
2)尝试通过Winhex手工还原目录项、然后修复簇链表。
偏移地址是6CF2,在$MFT下做如下操作
选中深粉红,右击
保存到另外一个盘
验证:
扫一扫
157
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
