标签：数据恢复 删除 文件 winhex 扇区 实验 原理 磁盘 硬盘

实验目的

通过实验理解数据存储机制，掌握基本的数据灾难备份和恢复工具，了解信息隐藏与检测相关知识。

预备知识

硬盘存储原理

    硬盘存储是指以硬盘为存储介质的存储方式，是一种采用磁介质的数据存储设备，数据存储在密封于洁净的硬盘驱动器内腔的若干个磁盘片上。这些盘片一般是在以铝为主要成分的片基表面涂上磁性介质所形成，在磁盘片的每一面上，以转动轴为轴心、以一定的磁密度为间隔的若干个同心圆就被划分成磁道（track），每个磁道又被划分为若干个扇区（sector），数据就按扇区存放在硬盘上。在每一面上都相应地有一个读写磁头（head），所以不同磁头的所有相同位置的磁道就构成了所谓的柱面（cylinder）。

    传统的硬盘读写都是以柱面、磁头、扇区为寻址方式的（CHS寻址）。硬盘在上电后保持高速旋转（5400转/min以上），位于磁头臂上的磁头悬浮在磁盘表面，可以通过步进电机在不同柱面之间移动，对不同的柱面进行读写。所以在上电期间如果硬盘受到剧烈振荡，磁盘表面就容易被划伤，磁头也容易损坏，这都将给盘上存储的数据带来灾难性的后果。

    硬盘的第一个扇区（0道0头1扇区）被保留为主引导扇区。在主引导区内主要有两项内容：主引导记录和硬盘分区表。主引导记录是一段程序代码，其作用主要是对硬盘上安装的操作系统进行引导；硬盘分区表则存储了硬盘的分区信息。计算机启动时将读取该扇区的数据，并对其合法性进行判断（扇区最后两个字节是否为0x55AA或0xAA55 ），如合法则跳转执行该扇区的第一条指令。所以硬盘的主引导区常常成为病毒攻击的对象，从而被篡改甚至被破坏。可引导标志：0x80为可引导分区类型标志；0表示未知；1为FAT12；4为FAT16；5为扩展分区等等。

winhex

    是一款以通用的 16 进制编辑器为核心，专门用来对付计算机取证、数据恢复、低级数据处理、以及 IT 安全性、各种日常紧急情况的高级工具： 用来检查和修复各种文件、恢复删除文件、硬盘损坏、数码相机卡损坏造成的数据丢失等。

Final data

    FinalData具有强大的数据恢复功能当文件被误删除（并从回收站中清除）、FAT表或者磁盘根区被病毒侵蚀造成文件信息全部丢失、物理故障造成FAT表或者磁盘根区不可读，以及磁盘格式化造成的全部文件信息丢失之后，FinalData都能够通过直接扫描目标磁盘抽取并恢复出文件信息（包括文件名、文件类型、原始位置、创建日期、删除日期、文件长度等），用户可以根据这些信息方便地查找和恢复自己需要的文件。甚至在数据文件已经被部分覆盖以后，专业版FinalData也可以将剩余部分文件恢复出来。

实验环境

一台安装了windows操作系统的主机，在桌面tools文件夹中有实验工具。

实验内容和步骤

任务一：用Winhex查看硬盘信息

1、为虚拟机添加一块硬盘

    登录到实验主机上。右击“我的电脑”->“管理”，见下图：

    

    点击磁盘管理，会出现磁盘初始化和转换向导，利用向导添加一块新的磁盘，如下图：

    

    点击下一步选择要初始化的磁盘，默认即可：

    

    选择要转换的磁盘，勾选“磁盘 1”：

    

    下一步直至完成：

    

    完成添加过程后会发现多了一块磁盘1，如下图：

    

    在新添加的动态磁盘上创建卷：

    

    所有选项均默认，直至完成向导，等待格式化完毕后在“我的电脑”会显示新的磁盘

    

 

 

2、安装winhex

    打开桌面tools\WinHex文件夹，双击运行WinHex程序，出现如下窗口：

    

3、使用winhex打开硬盘，分析硬盘信息

    点击tools—>open disk，出现下图：

    

    打开物理磁盘C盘，可以查看与编辑硬盘信息。

    

 

 

    找到第一扇区末尾：000001F0处，查看末尾标志是否为55AA。

4、根据看到的信息，查找资料，分析硬盘的分区信息。

    

 

任务二：用Winhex找回被删除文件

1、建立反删除目标文件

    关闭winhex，打开E盘（新建立的分区），建立一个文本文件，命名为：datarestore.txt，并添加内容。

    

 

 

    保存之后，删除文件。删除后可以到E盘上查看，目标文件已经没有了。

2、找回文件

    打开winhex，点击tools—>open disk，打开E盘：

    

    点击Specialist—>refine volume snapshot 获取卷快照，也可以按快捷键F10

    

    勾选“获取新快照”与“彻底搜索文件系统数据结构”，然后点击“确定”：

    

 

 

    可以看到winhex自动查找硬盘文件系统，查找后找到被删除文件，被删除文件与存在的文件颜色不同：

   

 

 

    右键该文件，点击恢复/复制

    

    选择一个路径保存文件，打开恢复的文件，查看内容是否成功恢复。

 

任务三：用Final data恢复被删除的文件

    1、打开桌面上tools\finaldata文件夹，找到应用程序“FdWizard”

    

    打开该程序，显示主界面如下图，选择“恢复删除/丢失文件”：

    

 

 

    注：将鼠标移动到相应功能按钮上，即可查看相应功能说明。

    选择恢复已删除文件

    

 

 

    将出现“选择驱动器”界面：

    

    选择需要扫描的驱动器，然后点击“扫描”，一段时间后会出现以前删除过的文件，勾选目标文件的复选框，可以“预览”，如下图：

    

 

 

    可以看到文件的内容与被删前无误，也可以点击恢复选择一个路径保存文件再查看。

实验报告要求

对实验结果进行分析，完成思考题目，总结实验的心得体会，并提出实验的改进意见。

分析与思考 1）试着把E盘格式化后，分别用winhex和final data恢复被删除的文件，看能否恢复成功。 ①在E盘里新建文档

② 格式化E盘

③格式化完成

 

 ④用winhex恢复文档发现没有格式化删除的文档

 

⑤用final data恢复被删除的文件发现也没有被删除的文件

 

 

 

 

标签：数据恢复,删除,文件,winhex,扇区,实验,原理,磁盘,硬盘
来源： https://www.cnblogs.com/jlz0610/p/15321953.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。