数据恢复原理实验(学习笔记)
(一)预备知识
winhex
是一款以通用的 16 进制编辑器为核心,专门用来对付计算机取证、数据恢复、低级数据处理、以及 IT 安全性、各种日常紧急情况的高级工具: 用来检查和修复各种文件、恢复删除文件、硬盘损坏、数码相机卡损坏造成的数据丢失等。
Final data
FinalData具有强大的数据恢复功能当文件被误删除(并从回收站中清除)、FAT表或者磁盘根区被病毒侵蚀造成文件信息全部丢失、物理故障造成FAT表或者磁盘根区不可读,以及磁盘格式化造成的全部文件信息丢失之后,FinalData都能够通过直接扫描目标磁盘抽取并恢复出文件信息(包括文件名、文件类型、原始位置、创建日期、删除日期、文件长度等),用户可以根据这些信息方便地查找和恢复自己需要的文件。甚至在数据文件已经被部分覆盖以后,专业版FinalData也可以将剩余部分文件恢复出来。
(二)用winhex查看硬盘信息
首先为虚拟机添加一块硬盘
所有选项均默认,直至完成向导,等待格式化完毕后在“我的电脑”会显示新的磁盘
打开物理磁盘C盘,可以查看与编辑硬盘信息, 找到第一扇区末尾:000001F0处,查看末尾标志是否为55AA。
根据看到的信息,查找资料,分析硬盘的分区信息。
(三)用Winhex找回被删除文件
建立反删除目标文件
关闭winhex,打开E盘(新建立的分区),建立一个文本文件,命名为:datarestore.txt,并添加内容。
删除后打开winhex,点击tools—>open disk,打开D盘,可以看到winhex自动查找硬盘文件系统,查找后找到被删除文件,被删除文件与存在的文件颜色不同,右键该文件,点击恢复/复制
(四)用Final data恢复被删除的文件
找到应用程序“FdWizard”,打开该程序,显示主界面如下图,选择“恢复删除/丢失文件”。可以看到文件的内容与被删前无误,也可以点击恢复选择一个路径保存文件再查看。
