实验目的
学习硬盘数据存储基础知识,了解FAT32文件系统存储格式,掌握文件在意外删除后的文件恢复技术;
实验工具
Winhex软件(下载链接),U盘
实验内容
A、对U盘完成克隆备份,修改U盘主引导区或引导区标记55AA为0000,验证该标记对U盘读写有何影响?修改主引导区或引导区的前500字节数据为00(55AA不修改),验证修改对U盘读写有何影响?
B、在U盘新建子目录mu,然后在该目录下新建文件testqazwsxedc.txt,输入内容“this is test 信息安全”,另外再随机粘贴文字,文件长度需要大于2个簇并保存。删除该文件,然后用winhex软件恢复该文件(恢复采用两种方式,一种是基于工具的自动恢复,一种是手工操作的恢复)。
实验过程
注:实验中使用的U盘为exFAT文件系统。
A. 修改引导区的内容
(1)修改引导区标记55AA为0000
① 按下F9选择磁盘F(U盘)。
② 创建磁盘镜像。
③ 将主引导区标记55AA修改为0000。
④ 系统提示无法写入也无法读取。
⑤ 用镜像文件恢复U盘。
(2)将前500字节数据改为0000
① 在另一个引导区,将55AA前的数据都改为0000并保存。
可以发现对U盘读写并无影响。
B. 创建文件然后删除并恢复
(1)基于工具的自动恢复
① 本次实验中采用的U盘属于exFAT文件系统,其每簇为131072字节,即128KB。
② 在U盘新建子目录mu,然后在该目录下新建文本文件“test.txt”,输入大于2个簇(即256KB)的文字。
③ 删除文件test.txt后,利用winhex的恢复功能进行恢复。
④ 可以看到test.txt文件恢复成功。
(2)手工操作的恢复
① 再次删除test.txt文件。由于实验过程中删除了三次,所以有三个test.txt文件的记录。
② 回到根目录,定位到mu目录。exFAT文件系统中,05开头表示一个目录项,所以可以发现mu目录中有3个目录项,对应三次被删除的test.txt文件。
③这里选择第三次被删除的test.txt文件进行恢复。打开数据解释器,点击图中“97”,可以看到起始簇号为919簇。
点击图中位置“B2”,可知文件大小为263346字节。
④ 跳转到919簇。
⑤ 可以发现正是test.txt中的内容,按Alt+1选作起始位置。
⑥ 将263346转为16进制即404b2,跳转到404b2字节,来到文件末尾,按Alt+2选作尾部,即可选定整个test.txt的内容。
⑦ 复制选块至新文件保存。
⑧ 即可成功恢复test.txt文件。
