| 【精选】实验十五:数据恢复原理实验 | 您所在的位置:网站首页 › windows7的磁盘管理和磁盘格式化知识点 › 【精选】实验十五:数据恢复原理实验 |
【精选】实验十五:数据恢复原理实验
|
实验十五:数据恢复原理实验 目录 一、实验目的及要求 二、实验原理 1.硬盘存储原理 2.winhex 3.Final data 三、实验环境 四、实验步骤及内容 实验步骤一 实验步骤二 实验步骤三 五、实验总结 六、分析与思考 一、实验目的及要求通过实验理解数据存储机制,掌握基本的数据灾难备份和恢复工具,了解信息隐藏与检测相关知识。 二、实验原理 1.硬盘存储原理硬盘存储是指以硬盘为存储介质的存储方式,是一种采用磁介质的数据存储设备,数据存储在密封于洁净的硬盘驱动器内腔的若干个磁盘片上。这些盘片一般是在以铝为主要成分的片基表面涂上磁性介质所形成,在磁盘片的每一面上,以转动轴为轴心、以一定的磁密度为间隔的若干个同心圆就被划分成磁道(track),每个磁道又被划分为若干个扇区(sector),数据就按扇区存放在硬盘上。在每一面上都相应地有一个读写磁头(head),所以不同磁头的所有相同位置的磁道就构成了所谓的柱面(cylinder)。 2.winhexwinhex是一款以通用的 16 进制编辑器为核心,专门用来对付计算机取证、数据恢复、低级数据处理、以及 IT 安全性、各种日常紧急情况的高级工具: 用来检查和修复各种文件、恢复删除文件、硬盘损坏、数码相机卡损坏造成的数据丢失等。 3.Final dataFinalData具有强大的数据恢复功能当文件被误删除(并从回收站中清除)、FAT表或者磁盘根区被病毒侵蚀造成文件信息全部丢失、物理故障造成FAT表或者磁盘根区不可读,以及磁盘格式化造成的全部文件信息丢失之后,FinalData都能够通过直接扫描目标磁盘抽取并恢复出文件信息(包括文件名、文件类型、原始位置、创建日期、删除日期、文件长度等),用户可以根据这些信息方便地查找和恢复自己需要的文件。甚至在数据文件已经被部分覆盖以后,专业版FinalData也可以将剩余部分文件恢复出来。 三、实验环境Windows操作系统,winhex,final data 四、实验步骤及内容 实验步骤一任务描述:用Winhex查看硬盘信息 1、为虚拟机添加一块硬盘 登录到实验主机上。右击“我的电脑”->“管理”,见下图:
点击磁盘管理,会出现磁盘初始化和转换向导,利用向导添加一块新的磁盘,如下图:
点击下一步选择要初始化的磁盘,默认即可:
下一步直至完成:
完成添加过程后会发现多了一块磁盘1,如下图:
在新添加的动态磁盘上创建卷:
所有选项均默认,直至完成向导,等待格式化完毕后在“我的电脑”会显示新的磁盘
2、安装winhex 打开桌面tools\WinHex文件夹,双击运行WinHex程序,出现如下窗口:
3、使用winhex打开硬盘,分析硬盘信息 点击tools—>open disk,出现下图:
打开物理磁盘C盘,可以查看与编辑硬盘信息。
找到第一扇区末尾:000001F0处,查看末尾标志是否为55AA。 4、根据看到的信息,查找资料,分析硬盘的分区信息。
任务描述:用Winhex找回被删除文件 1、建立反删除目标文件 关闭winhex,打开D盘(新建立的分区),建立一个文本文件,命名为:datarestore.txt,并添加内容。
保存之后,删除文件。删除后可以到E盘上查看,目标文件已经没有了。 2、找回文件 打开winhex,点击tools—>open disk,打开D盘:
点击Specialist—>refine volume snapshot 获取卷快照,也可以按快捷键F10
勾选“获取新快照”与“彻底搜索文件系统数据结构”,然后点击“确定”:
可以看到winhex自动查找硬盘文件系统,查找后找到被删除文件,被删除文件与存在的文件颜色不同: 右键该文件,点击恢复/复制
选择一个路径保存文件,打开恢复的文件,查看内容是否成功恢复。
任务描述:用Final data恢复被删除的文件 1、打开桌面上tools\finaldata文件夹,找到应用程序“FdWizard” 打开该程序,显示主界面如下图,选择“恢复删除/丢失文件”:
注:将鼠标移动到相应功能按钮上,即可查看相应功能说明。 选择恢复已删除文件 将出现“选择驱动器”界面:
选择需要扫描的驱动器,然后点击“扫描”,一段时间后会出现以前删除过的文件,勾选目标文件的复选框,可以“预览”,如下图:
可以看到文件的内容与被删前无误,也可以点击恢复选择一个路径保存文件再查看 五、实验总结通过这次试验理解了数据存储,并且使用了winhex,final data对数据进行恢复,知道了原理已经彻底删除的文件也是可以找回的 六、分析与思考1)试着把D盘格式化后,分别用winhex和final data恢复被删除的文件,看能否恢复成功。 Winhex不能恢复,,final data可以但是文件名改了 2)尝试通过Winhex手工还原目录项、然后修复簇链表。
偏移地址是6CF2,在$MFT下做如下操作
选中深粉红,右击
保存到另外一个盘
验证:
|
选择要转换的磁盘,勾选“磁盘 1”:
【本文地址】