数据恢复原理

任务一：用Winhex查看硬盘信息

1、为虚拟机添加一块硬盘

    登录到实验主机上。右击“我的电脑”->“管理”

    点击磁盘管理，会出现磁盘初始化和转换向导，利用向导添加一块新的磁盘

    点击下一步选择要初始化的磁盘，默认即可：

    选择要转换的磁盘，勾选“磁盘 1”：

 

 之后一直点击下一步直至完成，然后得到下图：

右击新添加的动态硬盘，选择新建卷；

所有选项均默认，直至完成向导，等待格式化完毕后在“我的电脑”会显示新的磁盘

2、安装winhex

    打开桌面tools\WinHex文件夹，双击运行WinHex程序，出现如下窗口：

 

 

 

  点击tools—>open disk，出现：

 

 

 上面为逻辑硬盘，下面为物理硬盘

  打开物理磁盘C盘，可以查看与编辑硬盘信息。

 

 

 

 

  找到第一扇区末尾：000001F0处，查看末尾标志是否为55AA。

4、根据看到的信息，查找资料，分析硬盘的分区信息。

    

 

任务二：用Winhex找回被删除文件

1、建立反删除目标文件

    关闭winhex，打开D盘（新建立的分区），建立一个文本文件，命名为：datarestore.txt，并添加内容。

 保存之后，删除文件。删除后可以到E盘上查看，目标文件已经没有了。

2、找回文件

    打开winhex，点击tools—>open disk，打开D盘：

 

    点击Specialist—>refine volume snapshot 获取卷快照，也可以按快捷键F10

 

 可以看到winhex自动查找硬盘文件系统，查找后找到被删除文件，被删除文件与存在的文件颜色不同：

 右键该文件，点击恢复/复制

   选择一个路径保存文件，打开恢复的文件，查看内容是否成功恢复。

 

用Final data恢复被删除的文件

    1、打开桌面上tools\finaldata文件夹，找到应用程序“FdWizard，打开该程序，选择“恢复删除/丢失文件”：

 

 

 

然后根据右边边框的引导完成操作

 

 

 

 

 

 

 

 

 

 

思考题：

试着把D盘格式化后，分别用winhex和final data恢复被删除的文件，看能否恢复成功。

 

 

 

winhex:

 

 

 失败

 

final data：

 

 失败

 

 

尝试通过Winhex手工还原目录项、然后修复簇链表。