数据恢复原理实验
任务一:用Winhex查看硬盘信息
右击“我的电脑”->“管理”,点击磁盘管理,会出现磁盘初始化和转换向导,利用向导添加一块新的磁盘
点击下一步选择要初始化的磁盘,默认即可, 选择要转换的磁盘,勾选“磁盘 1”, 下一步直至完成:
在新添加的动态磁盘上创建卷: 所有选项均默认,直至完成向导,等待格式化完毕后在“我的电脑”会显示新的磁盘
2、安装winhex
打开桌面tools\WinHex文件夹,双击运行WinHex程序,出现如下窗口:
3、使用winhex打开硬盘,分析硬盘信息
点击tools—>open disk,出现下图:
打开物理磁盘C盘,可以查看与编辑硬盘信息。
找到第一扇区末尾:000001F0处,查看末尾标志是否为55AA。
4、根据看到的信息,查找资料,分析硬盘的分区信息。
任务二:用Winhex找回被删除文件
1、建立反删除目标文件
关闭winhex,打开E盘(新建立的分区),建立一个文本文件,命名为:datarestore.txt,并添加内容
保存之后,删除文件。删除后可以到E盘上查看,目标文件已经没有了。
2、找回文件
打开winhex,点击tools—>open disk,打开E盘, 点击Specialist—>refine volume snapshot 获取卷快照,也可以按快捷键F10, 勾选“获取新快照”与“彻底搜索文件系统数据结构”,然后点击“确定”:
可以看到winhex自动查找硬盘文件系统,查找后找到被删除文件,被删除文件与存在的文件颜色不同, 右键该文件,点击恢复/复制
任务三:用Final data恢复被删除的文件
1、打开桌面上tools\finaldata文件夹,找到应用程序“FdWizard”
打开该程序,显示主界面如下图,选择“恢复删除/丢失文件”:
注:将鼠标移动到相应功能按钮上,即可查看相应功能说明。
选择恢复已删除文件
将出现“选择驱动器”界面,选择需要扫描的驱动器,然后点击“扫描”,一段时间后会出现以前删除过的文件,勾选目标文件的复选框,可以“预览”,如下图: