数据恢复原理实验

用Winhex查看硬盘信息

1.为虚拟机添加一块硬盘

（1）登录到实验主机上。右击“我的电脑”->“管理”

（2）点击磁盘管理，会出现磁盘初始化和转换向导，利用向导添加一块新的磁盘

 

 

 

（3）点击下一步选择要初始化的磁盘，默认即可

（4）选择要转换的磁盘，勾选“磁盘 1”，

 

 

 

一直下一步，完成添加过程后会发现多了一块磁盘1，在新添加的动态磁盘上创建卷,

所有选项均默认，并且设置为E盘，直至结束，格式化完毕后我的电脑会显示新的磁盘。

 

 

 

2.安装winhex

打开桌面tools\WinHex文件夹，双击运行WinHex程序，使用winhex打开硬盘(tools—>open disk)

 

 

 

 

 

打开物理磁盘C盘，可以查看与编辑硬盘信息。找到第一扇区末尾：000001F0处，查看末尾标志为55AA,

 

 

 

磁盘分区信息:

 

 

 

 

用Winhex找回被删除文件

1、建立反删除目标文件

 关闭winhex，打开E盘（新建立的分区），建立一个文本文件，命名为：datarestore.txt，并添加内容。

保存之后，删除文件(使用shift+delete)。删除后可以到E盘上查看，目标文件已经没有了。

 

 2.找回文件

打开winhex，然后点击tools—>open disk，打开E盘：

 ①点击Specialist—>refine volume snapshot 获取卷快照（也可以按快捷键F10，如果找不到视图，是点击view--show--第二个选项）

 

 

 

 

② 勾选“获取新快照”与“彻底搜索文件系统数据结构”，然后点击“确定”，可以看到winhex自动查找硬盘文件系统，查找后找到被删除文件，被删除文件与存在的文件颜色不同！！右键该文件，点击恢复/复制。

 

 

 

 

 

 

 

 

 

 

 

 用Final data恢复被删除的文件

 1、打开桌面上tools\finaldata文件夹，找到应用程序“FdWizard”

 

 

打开该程序，选择“恢复删除/丢失文件”， 选择恢复已删除文件，将出现“选择驱动器”界面。

 

 

选择需要扫描的驱动器，然后点击“扫描”，一段时间后会出现以前删除过的文件，勾选目标文件的复选框，可以“预览”，可以看到文件的内容与被删前无误，也可以点击恢复选择一个路径保存文件再查看。

 

 

 将鼠标移动到相应功能按钮上，即可查看相应功能说明。

   

1）试着把E盘格式化后，分别用winhex和final data恢复被删除的文件，看能否恢复成功。

首先将E盘格式化

 

 重复上述步骤

 

 

 

 

 

 

2）尝试通过Winhex手工还原目录项、