数据恢复原理实验

知识扩展：

硬盘存储原理

    硬盘存储是指以硬盘为存储介质的存储方式，数据就按扇区存放在硬盘上。硬盘的第一个扇区（0道0头1扇区）被保留为主引导扇区。在主引导区内主要有两项内容：主引导记录和硬盘分区表。主引导记录是一段程序代码，其作用主要是对硬盘上安装的操作系统进行引导；硬盘分区表则存储了硬盘的分区信息。计算机启动时将读取该扇区的数据，并对其合法性进行判断（扇区最后两个字节是否为0x55AA或0xAA55 ），如合法则跳转执行该扇区的第一条指令。所以硬盘的主引导区常常成为病毒攻击的对象，从而被篡改甚至被破坏。

winhex

 

    是一款以通用的 16 进制编辑器为核心，专门用来对付计算机取证、数据恢复、低级数据处理、以及 IT 安全性、各种日常紧急情况的高级工具： 用来检查和修复各种文件、恢复删除文件、硬盘损坏、数码相机卡损坏造成的数据丢失等。

 

Final data

 

    FinalData具有强大的数据恢复功能当文件被误删除（并从回收站中清除）、FAT表或者磁盘根区被病毒侵蚀造成文件信息全部丢失、物理故障造成FAT表或者磁盘根区不可读，以及磁盘格式化造成的全部文件信息丢失之后，FinalData都能够通过直接扫描目标磁盘抽取并恢复出文件信息（包括文件名、文件类型、原始位置、创建日期、删除日期、文件长度等），用户可以根据这些信息方便地查找和恢复自己需要的文件。甚至在数据文件已经被部分覆盖以后，专业版FinalData也可以将剩余部分文件恢复出来。

任务一：用Winhex查看硬盘信息

 第一步：我的电脑右键点击管理。

 

 点击磁盘管理

 

 选择初始化磁盘

 

 选择要转换的磁盘。

 

 

 

 

 

在先添加的磁盘上创建卷

 

 

 

 

 

 

2、安装winhex

    打开桌面tools\WinHex文件夹，双击运行WinHex程序，出现如下窗口：

 

 

 

 

 

3、使用winhex打开硬盘，分析硬盘信息

    点击tools—>open disk，出现下图：

 

 

 上面是逻辑驱动器，下面是物理磁盘。

打开物理磁盘C盘，可以查看与编辑硬盘信息。

 

  找到第一扇区末尾：000001F0处，查看末尾标志是否为55AA。

 

 任务二：用Winhex找回被删除文件

1、建立反删除目标文件

    关闭winhex，打开D盘（新建立的分区），建立一个文本文件，命名为：datarestore.txt，并添加内容。

 

 

 

 右键删除

 

 

 

2、找回文件

    打开winhex，点击tools—>open disk，打开D盘：

 

 

 

    点击Specialist—>refine volume snapshot 获取卷快照，也可以按快捷键F10

   

 

 take new one :获得新快照

particulariy thorough file system data structure search:彻底搜索文件系统数据结构

   可以看到winhex自动查找硬盘文件系统，查找后找到被删除文件，被删除文件与存在的文件颜色不同：

 

 

 

 不知道为什么我的没有显示被删除的文件

任务三：用Final data恢复被删除的文件

    1、打开桌面上tools\finaldata文件夹，找到应用程序“FdWizard”

 

 

 

 

 

 

 

 

 

 

1）试着把D盘格式化后，分别用winhex和final data恢复被删除的文件，看能否恢复成功。

 

 

 

 

 

2）尝试通过Winhex手工还原目录项、然后修复簇链表。