實驗目的

通過實驗理解資料儲存機制，掌握基本的資料災難備份和恢復工具，瞭解資訊隱藏與檢測相關知識。

一、用wenhix檢視硬碟資訊

1、為虛擬機器新增一塊硬碟

登入到實驗主機上。右擊“我的電腦”->“管理”

點選磁碟管理，會出現磁碟初始化和轉換向導，利用嚮導新增一塊新的磁碟

點選下一步直到

勾選磁碟一，下一步直到完成，完成新增過程後會發現多了一塊磁碟1

在新新增的動態磁碟上建立卷

所有選項均預設，直至完成嚮導，等待格式化完畢後在“我的電腦”會顯示新的磁碟

2、安裝winhex

開啟桌面tools\WinHex資料夾，雙擊執行WinHex程式

3、使用winhex開啟硬碟，分析硬碟資訊

點選tools—>open disk

找到第一扇區末尾：000001F0處，檢視末尾標誌是否為55AA

4、根據看到的資訊，查詢資料，分析硬碟的分割槽資訊。

任務二 、用winhex找回被刪的檔案

1、建立反刪除目標檔案

關閉winhex，開啟E盤（新建立的分割槽），建立一個文字檔案，命名為：datarestore.txt，並新增內容。

儲存之後，刪除檔案。刪除後可以到E盤上檢視，目標檔案已經沒有了。

2、找回檔案

開啟winhex，點選tools—>open disk，開啟E盤

點選Specialist—>refine volume snapshot 獲取卷快照，也可以按快捷鍵F10

勾選“獲取新快照”與“徹底搜尋檔案系統資料結構”，然後點選“確定”

可以看到winhex自動查詢硬碟檔案系統，查詢後找到被刪除檔案，被刪除檔案與存在的檔案顏色不同

右鍵該檔案，點選恢復/複製

選擇一個路徑儲存檔案，開啟恢復的檔案，檢視內容是否成功恢復。

任務三、Final data恢復被刪除的檔案

1、開啟桌面上tools\finaldata資料夾，找到應用程式“FdWizard”

開啟該程式，顯示主介面如下圖，選擇“恢復刪除/丟失檔案”

選擇恢復已刪除檔案

選擇需要掃描的驅動器，然後點選“掃描”，一段時間後會出現以前刪除過的檔案，勾選目標檔案的複選框，可以“預覽”，如下圖：

答題