一、实验目的
1)通过实验理解数据存储机制,掌握基本的数据灾难备份和恢复工具,了解信息隐藏与检测相关知识。
二、实验步骤
1)用Winhex查看硬盘信息
1、为虚拟机添加一块硬盘
登录到实验主机上。右击“我的电脑”->“管理”,见下图:
点击下一步选择要初始化的磁盘,默认即可:再勾选磁盘1
下一步直至完成:
完成添加过程后会发现多了一块磁盘1,如下图:
在新添加的动态磁盘上创建卷:
2、安装winhex
打开桌面tools\WinHex文件夹,双击运行WinHex程序,出现如下窗口:
3、使用winhex打开硬盘,分析硬盘信息
点击tools—>open disk,出现下图:
打开物理磁盘C盘,可以查看与编辑硬盘信息。
找到第一扇区末尾:000001F0处,查看末尾标志是否为55AA。
4、根据看到的信息,查找资料,分析硬盘的分区信息。
用Winhex找回被删除文件
1、建立反删除目标文件
关闭winhex,打开D盘(新建立的分区),建立一个文本文件,命名为:datarestore.txt,并添加内容。
保存之后,删除文件(shift+delete)。删除后可以到D盘上查看,目标文件已经没有了。
2、找回文件
打开winhex,点击tools—>open disk,打开D盘:
点击Specialist—>refine volume snapshot 获取卷快照,也可以按快捷键F10
可以看到winhex自动查找硬盘文件系统,查找后找到被删除文件,被删除文件与存在的文件颜色不同:
右键该文件,点击恢复/复制
选择一个路径保存文件,打开恢复的文件,查看内容是否成功恢复。
3)用Final data恢复被删除的文件
1、打开桌面上tools\finaldata文件夹,找到应用程序“FdWizard”
打开该程序,显示主界面如下图,选择“恢复删除/丢失文件”:
注:将鼠标移动到相应功能按钮上,即可查看相应功能说明。
选择恢复已删除文件
将出现“选择驱动器”界面:
选择需要扫描的驱动器,然后点击“扫描”,一段时间后会出现以前删除过的文件,勾选目标文件的复选框,可以“预览”,如下图:
可以看到文件的内容与被删前无误,也可以点击恢复选择一个路径保存文件再查看。
