步驟一：用winhex檢視硬碟資訊

1、為虛擬機器新增一塊硬碟

點選磁碟管理，按照指導書預設點選下一步，選擇磁碟1

在磁碟1上右擊，點選新建卷

所有選項均預設，直至完成嚮導，等待格式化完畢後在“我的電腦”會顯示新的磁碟

至此，新增成功

2、安裝winhex

開啟桌面tools\WinHex資料夾，雙擊執行WinHex程式，出現如下視窗：

3.使用winhex開啟硬碟，分析硬碟資訊

點選tools—>open disk，出現下圖：

開啟物理磁碟C盤，可以檢視與編輯硬碟資訊,第一扇區末尾：000001F0處，檢視末尾標誌為55AA。

步驟二：用winhex找回被刪除檔案

1、建立反刪除目標檔案

關閉winhex，開啟D盤（新建立的分割槽），建立一個文字檔案，命名為：datares.txt，（之前datarestore失敗了，重起的名字datares，與下圖不符，內容為hrello）並新增內容。

儲存之後，刪除檔案。刪除後可以到E盤上檢視，目標檔案已經沒有了。用shift+delete徹底刪除

2、找回檔案

開啟winhex，點選tools—>open disk，開啟D盤：

點選Specialist—>refine volume snapshot 獲取卷快照，也可以按快捷鍵F10

勾選“獲取新快照”（take new one）與“徹底搜尋檔案系統資料結構”（particularly thorough file system。。。），然後點選“確定”：

可以看到winhex自動查詢硬碟檔案系統，查詢後找到被刪除檔案，被刪除檔案與存在的檔案顏色不同：

右鍵該檔案，點選恢復/複製，選擇一個路徑儲存檔案，開啟恢復的檔案，檢視內容是否成功恢復。

至此，成功

步驟三：用Final data恢復被刪除的檔案

1、開啟桌面上tools\finaldata資料夾，找到應用程式“FdWizard”

分析與思考：

1）試著把E盤格式化後，分別用winhex和finaldata恢復被刪除的檔案，看能否恢復成功。

winhex能

finaldata找不到隱藏檔案

2）嘗試通過Winhex手工還原目錄項、然後修復簇連結串列。

答題：