实验九文恢复网络与信息安全实验报告.docVIP

实验九 文件恢复 同组实验者 实验日期 成绩 练习一 FAT32文件恢复 实验目的 1.了解Windows文件系统；2.了解FAT32文件系统的工作原理；3.能够运用工具恢复被删除的文件；4.学会手动恢复被删除的文件 实验人数 每组1人 系统环境 Windows 网络环境 交换网络结构 实验工具 FilePulverizer，Finaldata，WinHex 实验类型 验证型 一、实验原理 详见“信息安全实验平台”，“实验31”，“练习一”。 二、实验步骤 一．手工恢复文件 1．使用WinHex打开D盘查看各项参数 （1）格式化D盘。在“资源管理器”左侧树状结构中，右键单击“本地磁盘（D:）”|“格式化”|在文件系统中选择“FAT32”|“开始”|“确定”，对D盘进行格式化。 （2）使用WinHex获取D盘快照。单击工具栏“WinHex”按钮，打开WinHex。单击“工具”｜“打开磁盘”，在逻辑驱动器中选择“（D：）”，确定。获取新快照后可以看到驱动器D中所包含的目录、文件、文件分配表的大小和起始位置等相关信息。 （3）查看FAT1。单击WinHex中D盘快照中文件列表中的FAT1即可查看FAT1。单击FAT1中的数据可在左侧的参数框中看到数据所代表的簇号和簇的当前状态。 （4）计算FDT的起始位置。在文件列表中可以看到FAT1和FAT2的第1扇区位置，FAT2是FAT1的备份，所以大小相等内容相同。因此可以推算出它的大小为：FAT2的第1扇区位置－FAT1的第1扇区位置。FAT1的大小是：。FDT的位置在FAT2之后，所以可以通过：FAT2的第1扇区位置＋FAT1的大小来得到FDT的起始位置。FDT的起始位置的逻辑扇区编号是：。 （5）跳转到FDT的起始地址。单击“位置”|“转到扇区”|在扇区输入框中输入FDT的起始位置的逻辑扇区编号|“确定”，即可跳转到FDT的起始地址。 （6）根据实验原理了解FDT表中的目录登记项的各部份含义。 2．创建文本文件 在D盘根目录下新建文本文档“Hello.txt”，内容为“Hello World!”的文本文件。文件名和内容使用英文是为了便于查找。 3．备份相关数据 （1）重新获取磁盘快照。此时弹出对话框提示“有快照可以重用”，单击“获取新快照”即可获得逻辑驱动器的当前快照。 （2）备份FDT中“Hello.txt”的目录登记项。根据FDT的起始位置的逻辑扇区编号跳转到FDT的起始地址。找到文件“Hello.txt”的登记项。根据数据区右侧的明文找到倒数32个与文件“Hello.txt”相关的字节，即是文件的目录登记项。按住鼠标左键拖动选中文件“Hello.txt”的目录登记项的32个字节。右键单击被选中的数据块|“编辑”|“复制选块”|“置入新文件”|将新文件命名为“FDTH.dat”保存位置是C盘根目录下|“保存”。此时新文件会在WinHex中被打开。根据实验原理中对目录登记项各部份的定义，文件“Hello.txt”的文件名在目录登记项中的十六进制代码的第1字节的值是。文件的大小是字节，在目录登记项中的十六进制代码是。文件的首簇编号是，在目录登记项中的十六进制代码是。 （3）备份FAT1中的相关数据。参考FDT数据的备份步骤，将FAT1中的有效数据备份到C盘根目录下，文件名为“FAT1H.dat”。 （4）查看DATA区域中文件“Hello.txt”的数据。单击“位置”|“转到扇区”|在簇输入框中输入文件“Hello.txt”的首簇号|“确定”，即可跳转到文件“Hello.txt”的起始地址。 4．删除文件 在D盘根目录下选中文件“Hello.txt”，按“Shift+Delete”键将其删除。 5．查看删除标记 （1）重新获取D盘快照。 （2）对比当前FDT中文件“Hello.txt”的目录登记项和FDTH.dat中的相关数据。FDTH.dat中第一个字节是。当前FDT中文件“Hello.txt”的目录登记项的第一个字节是。 （3）对比FAT1中相关数据的变化。FAT1H.dat中文件“Hello.txt”簇链相关位置的十六进制值是。上述位置的值在当前FAT1中相同位置的值是。 （4）查看DATA区域中文件“Hello.txt”的数据。根据FDTH.dat记录的文件“Hello.txt”的首簇位置跳转相关簇并查看文件数据。文件数据是否有变化？ 6．根据备份数据恢复文件 （1）根据备份数据FDTH.dat和FAT1H.dat恢复FDT与FAT1中的相关数据。在FDT与FAT1的数据部分，用鼠标单击要修改的数据，然后通过键盘输入数值。按“Ctrl+S”键保存上述修改。出现提示信息，单击“确定”|“是”完成保存。 （2）刷新D盘根目录查看文件。文件是否被恢复？文件名是。 二．模