数据恢复原理实验
一、实验目的
通过实验理解数据存储机制,掌握基本的数据灾难备份和恢复工具,了解信息隐藏与检测相关知识。
二、实验步骤
1.用Winhex查看硬盘信息
(1)为虚拟机添加一块硬盘
登录到实验主机上。右击“我的电脑”->“管理”,见下图:
点击磁盘管理,会出现磁盘初始化和转换向导,利用向导添加一块新的磁盘,如下图:
选择要转换的磁盘,勾选“磁盘 1”:
下一步直至完成:
在新添加的动态磁盘上创建卷:
所有选项均默认,直至完成向导,等待格式化完毕后在“我的电脑”会显示新的磁盘
(2)安装winhex
打开桌面tools\WinHex文件夹,双击运行WinHex程序,出现如下窗口:
(3)使用winhex打开硬盘,分析硬盘信息
点击tools—>open disk,出现下图:
打开物理磁盘C盘,可以查看与编辑硬盘信息。
找到第一扇区末尾:000001F0处,查看末尾标志是否为55AA。
(4)根据看到的信息,查找资料,分析硬盘的分区信息。
2.用Winhex找回被删除文件
(1)建立反删除目标文件
关闭winhex,打开E盘(新建立的分区),建立一个文本文件,命名为:datarestore.txt,并添加内容。
保存之后,删除文件。删除后可以到E盘上查看,目标文件已经没有了。
(2)找回文件(找回彻底删除的文件 eg:shift+del)
打开winhex,点击tools—>open disk,打开E盘:
点击Specialist—>refine volume snapshot 获取卷快照,也可以按快捷键F10
勾选“获取新快照”与“彻底搜索文件系统数据结构”,然后点击“确定”:
可以看到winhex自动查找硬盘文件系统,查找后找到被删除文件,被删除文件与存在的文件颜色不同:
右键该文件,点击恢复/复制
选择一个路径保存文件,打开恢复的文件,查看内容是否成功恢复。
3.用Final data恢复被删除的文件
(1)打开桌面上tools\finaldata文件夹,找到应用程序“FdWizard”
打开该程序,显示主界面如下图,选择“恢复删除/丢失文件”,选择恢复已删除文件:
将出现“选择驱动器”界面:
选择需要扫描的驱动器,然后点击“扫描”,一段时间后会出现以前删除过的文件,勾选目标文件的复选框,可以“预览”,如下图:
可以看到文件的内容与被删前无误,也可以点击恢复选择一个路径保存文件再查看。
点击恢复,选择要恢复的分区:
恢复至D盘,在“我的电脑”中查看已恢复文件
②右击E盘选择格式化,开始格式化。
格式化后E盘中无文件夹及文件。
③打开WinHex,然后选择Tools->Open Disk,选择E盘
初始E盘无新建文件夹及文件
④选择Specialist—>refine volume snapshot 获取卷快照,勾选获取新快照与彻底搜索文件系统数据结构,然后点击确定:
正在恢复
可以看到已经查找到格式化的文件夹及文件
右键该文件,点击恢复/复制,点击确定
已经恢复
E盘已经恢复
四、心得体会
通过实验理解数据存储机制,掌握了基本的数据灾难备份和恢复工具,了解了信息隐藏与检测相关知识。
五、课后习题
浙公网安备 33010602011771号