网安——数据恢复原理实验

Posted 2021-09-18 Amerfi1

任务一：用Winhex查看硬盘信息

1、为虚拟机添加一块硬盘

    登录到实验主机上。右击“我的电脑”->“管理”

    点击磁盘管理，会出现磁盘初始化和转换向导，利用向导添加一块新的磁盘

  

    选择要转换的磁盘，勾选“磁盘 1”：

 

 

    在新添加的动态磁盘上创建卷：

    

 

    所有选项均默认，直至完成向导，等待格式化完毕后在“我的电脑”会显示新的磁盘

2、安装winhex

    打开桌面tools\\WinHex文件夹，双击运行WinHex程序，出现如下窗口：

 

3、使用winhex打开硬盘，分析硬盘信息

    点击tools—>open disk，出现下图：

   

 

    打开物理磁盘C盘，可以查看与编辑硬盘信息。

  找到第一扇区末尾：000001F0处，查看末尾标志是否为55AA。

任务二：用Winhex找回被删除文件

1、建立反删除目标文件

    关闭winhex，打开E盘（新建立的分区），建立一个文本文件，命名为：datarestore.txt，并添加内容。

    

 

    保存之后，删除文件。删除后可以到E盘上查看，目标文件已经没有了。

2、找回文件

    打开winhex，点击tools—>open disk，打开E盘：

    

 

    点击Specialist—>refine volume snapshot 获取卷快照，也可以按快捷键F10

   

 

    勾选“获取新快照”与“彻底搜索文件系统数据结构”，然后点击“确定”：

    

 

    可以看到winhex自动查找硬盘文件系统，查找后找到被删除文件，被删除文件与存在的文件颜色不同：

    

 

    右键该文件，点击恢复/复制

    

任务三：用Final data恢复被删除的文件

    1、打开桌面上tools\\finaldata文件夹，找到应用程序“FdWizard”

    打开该程序，显示主界面如下图，选择“恢复删除/丢失文件”：

    

    选择恢复已删除文件

    

 

    将出现“选择驱动器”界面：

    选择需要扫描的驱动器，然后点击“扫描”，一段时间后会出现以前删除过的文件，勾选目标文件的复选框，可以“预览”

    

 

分析与思考

1）试着把E盘格式化后，分别用winhex和final data恢复被删除的文件，看能否恢复成功。

答：winhex可以恢复被格式化的磁盘 而final data不可以 如图所示

 

 

 

 

 

2）尝试通过Winhex手工还原目录项、然后修复簇链表。

答：如图所示

 

 

 

 

 

答题