网络安全实验三：2.数据恢复原理实验

步骤一：用winhex查看硬盘信息

1、为虚拟机添加一块硬盘

 

 点击磁盘管理，按照指导书默认点击下一步，选择磁盘1

 

 在磁盘1上右击，点击新建卷

 

 所有选项均默认，直至完成向导，等待格式化完毕后在“我的电脑”会显示新的磁盘

 

 

 

 

 

 至此，添加成功

2、安装winhex

打开桌面tools\WinHex文件夹，双击运行WinHex程序，出现如下窗口：

 

 3.使用winhex打开硬盘，分析硬盘信息

点击tools—>open disk，出现下图：

 

 打开物理磁盘C盘，可以查看与编辑硬盘信息,第一扇区末尾：000001F0处，查看末尾标志为55AA。

 

 步骤二：用winhex找回被删除文件

1、建立反删除目标文件

关闭winhex，打开D盘（新建立的分区），建立一个文本文件，命名为：datares.txt，（之前datarestore失败了，重起的名字datares，与下图不符，内容为hrello）并添加内容。

 

  保存之后，删除文件。删除后可以到E盘上查看，目标文件已经没有了。用shift+delete彻底删除

 

 

2、找回文件

    打开winhex，点击tools—>open disk，打开D盘：

 

 

 

  点击Specialist—>refine volume snapshot 获取卷快照，也可以按快捷键F10

 

 勾选“获取新快照”（take new one）与“彻底搜索文件系统数据结构”（particularly thorough file system。。。），然后点击“确定”：

 

 

可以看到winhex自动查找硬盘文件系统，查找后找到被删除文件，被删除文件与存在的文件颜色不同：

 

 右键该文件，点击恢复/复制， 选择一个路径保存文件，打开恢复的文件，查看内容是否成功恢复。

 

 

 至此，成功

步骤三：用Final data恢复被删除的文件

 1、打开桌面上tools\finaldata文件夹，找到应用程序“FdWizard”

 

 

 

 

 

 

 

 

 

 

 分析与思考：

1）试着把E盘格式化后，分别用winhex和final data恢复被删除的文件，看能否恢复成功。

 

 

 

 

 

 

winhex能

 

final data找不到隐藏文件

2）尝试通过Winhex手工还原目录项、然后修复簇链表。

答题：