任務一：用Winhex檢視硬碟資訊

1、為虛擬機器新增一塊硬碟

登入到實驗主機上。右擊“我的電腦”->“管理”

點選磁碟管理，會出現磁碟初始化和轉換向導，利用嚮導新增一塊新的磁碟

點選下一步選擇要初始化的磁碟，預設即可：

選擇要轉換的磁碟，勾選“磁碟 1”：

之後一直點選下一步直至完成，然後得到下圖：

右擊新新增的動態硬碟，選擇新建卷；

所有選項均預設，直至完成嚮導，等待格式化完畢後在“我的電腦”會顯示新的磁碟

2、安裝winhex

開啟桌面tools\WinHex資料夾，雙擊執行WinHex程式，出現如下視窗：

點選tools—>open disk，出現：

上面為邏輯硬碟，下面為物理硬碟

開啟物理磁碟C盤，可以檢視與編輯硬碟資訊。

找到第一扇區末尾：000001F0處，檢視末尾標誌是否為55AA。

4、根據看到的資訊，查詢資料，分析硬碟的分割槽資訊。

任務二：用Winhex找回被刪除檔案

1、建立反刪除目標檔案

關閉winhex，開啟D盤（新建立的分割槽），建立一個文字檔案，命名為：datarestore.txt，並新增內容。

儲存之後，刪除檔案。刪除後可以到E盤上檢視，目標檔案已經沒有了。

2、找回檔案

開啟winhex，點選tools—>open disk，開啟D盤：

點選Specialist—>refine volume snapshot 獲取卷快照，也可以按快捷鍵F10

可以看到winhex自動查詢硬碟檔案系統，查詢後找到被刪除檔案，被刪除檔案與存在的檔案顏色不同：

右鍵該檔案，點選恢復/複製

選擇一個路徑儲存檔案，開啟恢復的檔案，檢視內容是否成功恢復。

用Final data恢復被刪除的檔案

1、開啟桌面上tools\finaldata資料夾，找到應用程式“FdWizard，開啟該程式，選擇“恢復刪除/丟失檔案”：

然後根據右邊邊框的引導完成操作

思考題：

試著把D盤格式化後，分別用winhex和finaldata恢復被刪除的檔案，看能否恢復成功。

winhex:

失敗

finaldata：

失敗

嘗試通過Winhex手工還原目錄項、然後修復簇連結串列。