1. 您所在位置:
  2. 网站首页
  3. 文档分类
  4. 办公文档
  5. 简明教程
网站大量收购闲置独家精品文档,联系QQ:2885784924

网络空间安全概论 实验8文件恢复 winhex文件恢复实验样例1.docx

网络空间安全概论 实验8文件恢复 winhex文件恢复实验样例1.docx

    1. 1、本文档共15页,可阅读全部内容。
    2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
    3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
    4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
    查看更多

    实验一文件系统取证

    一、实验目的

    1、通过使用WinHex软件,熟悉磁盘信息,从而了解存储机制;

    2、查看磁盘信息,及其使用状况;

    能够恢复已删除的文件;

    二、实验内容

    1、查看计算机磁盘及U盘的信息,及相应的文件信息;

    使用WinHex自动,手动恢复文件;

    三、实验步骤

    下载WinHex工具,打开文件夹中的WinHex.exe文件,熟悉工作界面;打开相应的磁盘,查询信息,并进行相关的恢复操作。

    四、实验操作内容

    (一)查看FAT相关属性

    1)管理员运行:安装完WinHex之后,找到exe文件,点击鼠标右键,选择以管理员运行,这样权限大一些,否则有些功能无法使用。

    图1-1

    2)打开磁盘:打开软件之后,找到软件的中左位置的小磁盘图标,如下图所示1-2所示。

    图1-2

    3)选择下面的物理设备,这里我选择的是自己所创造的一个虚拟磁盘FAT16系统的。如下图1-3所示:

    图1-3

    MBR参数:打开之后的第一个扇区记录的便是磁盘的MBR,最后两个字节“55AA”为结束标志。从结束标志往上数4行为(16*4字节)为分区参数,如下图1-4所示。再向前4个字节为磁盘标志符,是唯一的,以此辨别不同磁盘,剩下的便是引导程序。

    图1-4

    分区参数那16个字节一个代表一个扇区,我只给这个虚拟磁盘分了1个分区。16个字节的中的参数意义如下:

    分区参数表

    图1-5

    例如我这个磁盘里面的这个分区,第一个字节为“00”代表着为非引导扇区,接着的3个字节为起始的物理地址“000302”(小端序倒着读),“0E”为分区类型为FAT16类型的,“0470B4”为结束的物理地址。接下来为逻辑起始地址,也是我们所用的,“003FE800”表示分区的大小。

    5)跳转至分区:将鼠标从“00”划到“80”,查看数据解释器转换数值即为第一个扇区所在逻辑地址(十进制的),转为十进制便为128。

    图1-6

    按快捷键“alt+g”,弹出跳转框:选择从当前位置,单位设置为扇区

    图1-7

    6)跳转到的扇区便是DBR扇区,里面记录了分区的参数。我们可以通过读取DBR里面的参数来查看分区的信息,也可以通过WinHex自带的功能快速读取分区参数信息。这里选择软件自带的功能读取,按快捷键“alt+f12”,弹出如下页面:

    图1-7

    这里由于我的分区是FAT16的,所以选择第一个,如果是FAT32的便选择第二个,然后点击应用即可。DBR参数如下所示:可以看到每簇64个扇区,保留扇区为8个,FAT表的个数为2,一个FAT表所占用的扇区个数为256个,根目录最大的记录项为512个,即根目录占32个扇区。

    图1-8

    (二)、FAT---删除文件的恢复

    1、自动恢复

    ①将F盘中的一张图片“shift+del”键彻底删去

    图1-9

    ②如下图1-10所示位置获取新快照

    图1-10

    ③在快照中找到刚刚删去的照片,如下图1-11所示

    图1-11

    ④点击右键,恢复,恢复路径保存于原来路径或其他位置都可以,如下图所示

    图1-12

    图1-13

    ⑤、恢复完后如图1-14所示,文件名变为了“?”,这是当文件被删去时,其第一个字节被替换为了“E5”所导致的。

    图1-14

    2、手动恢复(法一)

    ①、来到DBR分区,然后使用快捷键”alt+g”键,先跳到第一个FAT表的起始位置那,有之前的DBR数据分析可知,保留扇区为8,所以跳8个扇区。

    图1-15

    ②、跳到第一个FAT表起始位置之后,再跳一个FAT表的大小,到达第二个扇区,我这一个FAT表大小为256个扇区,所以跳256个扇区(当前位置跳)

    图1-16

    ③因为有两个FAT表,所以再跳一个FAT表的大小扇区

    ④到达根目录所在位置,如下图1-17所示,此位置为FAT16所有,在FAT32中已经将其与DATA区合并,要是是FAT32文件系统,后面便不用跳过次区域。

    图1-17

    ⑤在此处找到刚刚删去图片的信息,如下图1-18所示

    图1-18

    后四个字节为图片的大小,接着的“3F2B”为图片所在的簇号,要是FAT32的话还有可能高位簇号。记录下信息,大小:1166343字节簇号:16171

    ⑥跳到数据区,计算图片的起始地址:(16171-2)*64=1034816,然后跳图片起始扇区,如下图所示:

    图1-19

    图1-20

    ⑦到达图片的起始扇区之后,选择扇区的第一个字节,按“alt+1”快捷键选择块起始地址,接着跳转到1166343字节处,按“alt+2”快捷键选择块结束位置。如下图所示:

    图1-21

    图1-22

    ⑧点击“Edit”,将其拷贝到到新文件当中,如下图1-23所示,恢复文件完毕,在保存的路径便可看到图片

    图1-23

    3、手动恢复(法二)

    ①还是以4.jpg为例子,WinHex中查看新的卷快照。找到已删除

    您可能关注的文档

    最近下载

    文档评论(0)

    balala11 + 关注
    实名认证
    内容提供者

    该用户很懒,什么也没介绍

    咨询Ta 进入空间

    1亿VIP精品文档

    更多 >

    相关文档

    更多 >