数据恢复原理实验

一、实验简介

实验所属系列：网络安全与防护 

实验对象： 本科/专科信息安全专业 

相关课程及专业：信息网络安全概论、计算机组成原理

实验时数（学分）：2学时 

实验类别：实践实验类

二、实验目的

通过实验理解数据存储机制，掌握基本的数据灾难备份和恢复工具，了解信息隐藏与检测相关知识。

三、预备知识

硬盘的第一个扇区（0道0头1扇区）被保留为主引导扇区。在主引导区内主要有两项内容：主引导记录和硬盘分区表。主引导记录是一段程序代码，其作用主要是对硬盘上安装的操作系统进行引导；硬盘分区表则存储了硬盘的分区信息。计算机启动时将读取该扇区的数据，并对其合法性进行判断（扇区最后两个字节是否为0x55AA或0xAA55 ），如合法则跳转执行该扇区的第一条指令。

winhex 是一款以通用的 16 进制编辑器为核心，专门用来对付计算机取证、数据恢复、低级数据处理、以及 IT 安全性、各种日常紧急情况的高级工具。

FinalData都能够通过直接扫描目标磁盘抽取并恢复出文件信息，用户可以根据这些信息方便地查找和恢复自己需要的文件。

四、实验环境

一台安装了windows操作系统的主机，在桌面tools文件夹中有实验工具。

五、实验步骤

1）

为虚拟机添加一块硬盘

    登录到实验主机上。右击“我的电脑”->“管理”，见下图：

     点击磁盘管理，会出现磁盘初始化和转换向导，利用向导添加一块新的磁盘，如下图：

     点击下一步选择要初始化的磁盘，默认即可：

     选择要转换的磁盘，勾选“磁盘 1”：

     下一步直至完成：

     完成添加过程后会发现多了一块磁盘1，如下图：

     在新添加的动态磁盘上创建卷：

     所有选项均默认，直至完成向导，等待格式化完毕后在“我的电脑”会显示新的磁盘

安装winhex

    打开桌面tools\WinHex文件夹，双击运行WinHex程序，出现如下窗口：

使用winhex打开硬盘，分析硬盘信息

    点击tools—>open disk，出现下图：

     打开物理磁盘C盘，可以查看与编辑硬盘信息。

找到第一扇区末尾：000001F0处，查看末尾标志是否为55AA。

根据看到的信息，查找资料，分析硬盘的分区信息。

 2）

建立反删除目标文件

    关闭winhex，打开E盘（新建立的分区），建立一个文本文件，命名为：datarestore.txt，并添加内容。

     保存之后，删除文件。删除后可以到E盘上查看，目标文件已经没有了。

找回文件

    打开winhex，点击tools—>open disk，打开E盘：

     点击Specialist—>refine volume snapshot 获取卷快照，也可以按快捷键F10

     勾选“获取新快照”与“彻底搜索文件系统数据结构”，然后点击“确定”：

     可以看到winhex自动查找硬盘文件系统，查找后找到被删除文件，被删除文件与存在的文件颜色不同：

     右键该文件，点击恢复/复制

     选择一个路径保存文件，打开恢复的文件，查看内容是否成功恢复。

3）

用Final data恢复被删除的文件

    1、打开桌面上tools\finaldata文件夹，找到应用程序“FdWizard”

     打开该程序，显示主界面如下图，选择“恢复删除/丢失文件”：

    注：将鼠标移动到相应功能按钮上，即可查看相应功能说明。

    选择恢复已删除文件

     将出现“选择驱动器”界面：

     选择需要扫描的驱动器，然后点击“扫描”，一段时间后会出现以前删除过的文件，勾选目标文件的复选框，可以“预览”，如下图：

     可以看到文件的内容与被删前无误，也可以点击恢复选择一个路径保存文件再查看。

六、分析与思考

1）试着把E盘格式化后，分别用winhex和final data恢复被删除的文件，看能否恢复成功。

 

2）尝试通过Winhex手工还原目录项、然后修复簇链表。

 

七、答题

 八、实验心得体会

知道了在删除、格式化等简单操作后数据仍然存在于硬盘中。在了解数据在硬盘、优盘、软盘等介质上的存储原理后，我能够进行简单操作便可将消失的数据找回。通过本实验理解了数据存储机制，掌握了基本的数据灾难备份和恢复工具，了解了信息隐藏与检测相关知识。