《恢复实验报告模板.docx》由会员分享,可在线阅读,更多相关《恢复实验报告模板.docx(10页珍藏版)》请在第壹文秘上搜索。
1、班级:学号:姓名:实验名称:数据恢复技术一、实验目的通过之前的学习我们了解到了一些关于NTFS文件系统的根本知识,知道它具有很高的平安性和稳定性,同时也提供了容错结构日,是目前比拟常用的文件系统之一.我们在了解了NTFS文件系统根本结构的根底上,学习了其卷中文件的删除及其恢复原理:即在NTSF卷中删除一个文件后,系统会至少在三个地方做改变,一是该文件MFT头偏移16H处的一个字节置为“OOH,二是其父文件夹的90H属性会做相应的改变,三是在为题元数据文件中把该文件所占用的簇对应位置置为“0”.通过此次试验,一方面对NTFS文件系统的结构进行进一步的了解,通过具体的实例,分析具体的文件结构;另一
2、方面将恢复原理进行实际应用,提高学生的动手实践能力.二、实验内容1、在WinheX中对虚拟U盘中的数据进行分析,找出文件”的MFT、数据区等信息;2、将文件“删除,观察磁盘中的数据会出现什么变化;3、利用NTFS数据恢复的原理,将删除的文件”“恢复到其他的磁盘当中;三、实验操作步骤及截图1、安装虚拟U盘软件“vdisk”,并在其中创立一个虚拟U盘,并格式化为NTFS文件系统;2、将素材文件拷贝到虚拟U盘中;3、翻开WinheX软件,翻开虚拟U盘对应的磁盘数据;4、进入文件系统的MFT,跳转到文件记录5(是NTFS系统元数据文件之一,是文件系统的根目录,主要存储虚拟U盘中根目录下文件的一些信息,
3、通过对该MFT的AOH属性的分析,可以找到文件的索引项),如下图:转到文件记录TeI文件记录:5,确定助肖Offset0123456789ABCDEF/I/3I021AB40046494C45300003006341100000000000FILEDcA021AB4100500010038000300880211011DD400118I021AB4200000000000000000OA0000000000000021AB430UbUUU/UUUUUUUUUUIUUUUUUU4bID:5UUUUH021AB440000018000000000030000000180000000021AB450
4、D9ACAl5E698CCF018978IC77698CCF01U-iilIIxwill021AB4608978IC77698CCF018978IC77698CCF01IxwillIxwill021AB47006000000000000000000000000000000021AB480300000006000000000001800000001000、021AB49044000000180001000500000000000500D021AB4A0D9ACAl5E698CCF01D9ACAl5E698CCF010-iiCJrLiIi021AB4B0D9ACAl5E698CCF01D9ACAl
5、5E698CCF01u-,riiUrlAiIf021AB4C000000000000000000000000000000000021AB4D0060000100000000001032E0000000000021AB4E050000000680000000000180000000200Ph021AB4F050000000180000000100048030000000P10021AB5004000000000000000140000000200IC00021AB5100100000000031400FF01IF0001010000y021AB52000000001000000000102000
6、000000005021AB53020000000200200000102000000000005021AB54020000000200200009000000058000000X021AB550000418000000060038000000200000008021AB56024004900330030003000000001000000$1300021AB57000100000010000001000000028000000(021AB58028000000010000000000000000000000(021AB59018000000030000000000000000000000根目
7、录MFT5、根据根目录MFT的AOH属性(索引分配属性,根目录的索引分配属性定义了根目录索引的运行开始VCN和结束VCN,以及数据运行的起始LCN和占用的簇数)的数据运行数据,我们可以跳转到根目录的索引分配数据上:AOH属性头021AB59018 00 00 00 03 00 00 00 00 00 00 00 00 00 00021AB5102IAB 5(02IAB 51021AB5I0 00 0AO 0048 0024000000100000000000490000000000500000003300000000000000000000000000010000000400101040000
8、0000000000000000000000000000800000000000000003。Ii CIl 2C 0。/ 00 CIO OO IeIo021AB5F0BO 00 00 00 28 00 00 00 00 04 18 00 00 00 05 00AOH的属性体,该数据运行表示: 该数据共占用1个 簇,且起始簇号为 2CH即第44簇00 10 00 00 00 00 OC 00 10 00 00 00 00 0( Tt 01 2 00 00 00 0( 00 04 18 00 00 00 0524 00 49 00 33 00 3Q是一个数据运行8 Bit (): 4416 Bit
9、 () 4432 Bit () 441Qa6、跳转到44簇,查看根目录的索引表,找到文件”的索引项,分析索引项可得到该文件的MFT参考号为26号:转到扇区。逻辑(L):扇区:352=簇:IT二件的索引0002C610Q02C620 0030 002C64t该文件的MFT顺序 号为26号确定(Q)物理(P):柱面小t道磁头/S(H): 扇区:取消(A)UbUUWWUUUO05008978IC77698CCF01006946FFA944CF01E9D9IE77698CCF018978IC77698CCF01001000000000000068Q9QQQQQQQOQQOO20000000000000
10、000703530057004B002E006A0070006700000000000000000010000000020000000002C6500002C6600002C6700002C680G600 PE ClO Frm 7 n九。0 0。CIo oo 0。CtO 口。0 00 00 00 00 01 00 60 00 50 00 00 00 00 00f.txt & PIX wi11 iFyDI eU will IX wi11 hS W K . j p g7、跳转到26号文件记录(即“的MFT),查看他的80H属性,附属性头的38H偏移获得文件的大小:6809000000000000,
11、即2408字节;属性体的数据运行中获得数据的起始簇号和所占簇数:H01250001000000,该文件占一个簇,其实簇号为25H,即37号簇80H属性该文件正在被使用文件的MFTOffset0123456789AKCDEF/匚,L021B380046494C453000030081421000M000000FILEDB021B38100100010038ioOlOP500100OO000400008P021B38200000000000000000030000po260000)0&021B383002000000000000001000000060000000*021B384000000000
12、000000004800000018000000H021B38508978IC77698CCF01006946FFA944CFJlIxwilliFyDI021B3860E9D9IE77698CCF018978IC77698CCF31eUwillIxwill021B387020000000000000000000000000000000021B388000000000050100000000000000000000021B3890000000000000000030000000680000000h021B38A000000000000002005000000018000100P021B38B00
13、5000000000005008978IC77698CCFDlIxwill021B38C08978IC77698CCF018978IC77698CCFHIxwillIxwill021B3D08978IC77698CCF010010000000000000Ixwillx021B38E00000000000000000200000000000000002JB38F00703530057004B002E006A0070006700SWK.jpg02190C80000000480000000100000000000110IH021B3K00000000000000000000000000000010021B392C7。000000000000000010000000000010021B393C68090000000000006809000000000010hh021B394011012500010000叩FFFFFFFF82794711%yyyyy021B395000000000000000000000000000000000021B396000000000000000000000000000000000021B39