一、實驗室名稱:主樓實驗室A2-412
二、實驗項目名稱:分區恢復和NTFS文件恢復試驗
三、實驗學時:6學時
四、實驗原理:
借助fdisk、diskgen軟件對磁盤分區進行刪除和恢復,使用工具軟件WINHEX對指定的文件進行定位、分析,以及恢復。
五、實驗目的:
1)掌握使用軟件進行磁盤的分區恢復技術
2)了解NTFS文件系統在磁盤上的存儲映像和它在系統安全中的地位和作用。
3)初步掌握NTFS的文件恢復技術
六、實驗內容:
n 磁盤分區恢復實驗
1)在VMware上安裝Windows XP。
2)使用啟動盤中的fdisk破壞(刪除)磁盤分區。
3)使用啟動盤中的DiskGen恢復磁盤分區。
n NTFS的文件恢復實驗
1)在Windows XP的NTFS格式的磁盤中,創建一個簡單文件,使用WINHEX進行分析。
2)使用WinHex軟件進行文件恢復操作練習。
七、實驗器材(設備、元器件):
PC微機一台(至少具有一個FAT格式磁盤分區),VMware Workstation6.0虛擬機軟件,Windows XP for VMWare映像安裝文件,Fdisk,DiskGen,WinRAR,WinHex軟件。
八、實驗步驟:
步驟一、在虛擬機上安裝Windows XP和工具軟件。
1.創建虛擬機,虛擬磁盤空間不少於4GB,並具有光盤驅動器和軟盤驅動器。
2.使用提供的Windows XP ISO映像安裝盤(TOMATO_WINXP_SP2.iso),在虛擬機上安裝Windows XP。
3.依據安裝提示,設置磁盤分區。分3個區,均采用NTFS格式(其中安裝Windows XP的分區大小為2.5GB,其他兩個分區大小自定)。
4.記錄分區大小。
5.Windows XP安裝完成后,采用快速格式化方式將其他邏輯磁盤格式化為NTFS磁盤。
6.安裝實驗所需工具軟件WinRAR和WinHex。
ü 安裝WinRAR壓縮工具軟件:使用Windows XP安裝盤,在菜單中選擇TOOLS目錄,運行該目錄下的WinRAR安裝文件,在虛擬機上安裝WinRAR。
ü 安裝WinHex:將WinHex軟盤映像文件(WinHex.IMA)拷貝到虛擬機中,使用WinRAR解壓縮,安裝后即可使用WinHex。
7.安裝完畢后使用VMware快照和克隆功能,備份試驗系統。
步驟二、使用Fdisk刪除分區
1.使用啟動盤(Start.flp)啟動備份虛擬機系統。
2.使用Fdisk刪除硬盤的分區:在Fdisk中選擇刪除Non-Dos分區菜單,將安裝Windows XP系統的磁盤分區刪除。
3.查看是否能夠啟動Windows XP。
步驟三、使用DiskGen恢復分區,恢復系統
1.使用啟動盤(Start.flp)引導備份虛擬機系統.。
2.運行ctmouse命令,啟用鼠標支持。
3.運行DiskGen軟件。
4.重建分區。
5.設定活動分區。
6.重新運行,檢查Windows XP能否正常啟動。
步驟四、查找文件
1.在一個NTFS格式的磁盤中,創建一個目錄,並在該目錄中創建一個大於1KB的文本文件(*.txt文件),使用WinHex查找相關MTF文件項。
2.根據MFT文件項信息,獲取文件的運行或數據存儲位置。
3.使用WinHex讀取該文件對應的扇區,查看扇區存儲的文件內容。
步驟五、文件刪除原理
1.刪除生成的目錄和文本文件。
2.使用WinHex,查看MFT,對比已刪除文件在MFT中所對應的狀態信息的變化。
步驟六、文件恢復
1.在NTFS格式的磁盤中,使用WINHEX進行文件恢復操作練習。
2.記錄所使用的主要磁盤參數。
3.簡敘恢復操作的主要步驟。
九、實驗數據及結果分析:
任務一:使用Fdisk刪除分區
1.安裝Windows XP系統,安裝時,將磁盤分為三個NTFS分區。
2.使用快照和克隆功能備份安裝的Windows XP系統。
3.退出Windows XP后,使用啟動盤引導系統,使用fdisk刪除分區,記錄(拷貝屏幕輸出)刪除分區的步驟,並對其進行說明。
4.驗證Windws XP能否啟動。
這里把軟盤的啟動連接去掉,啟動系統。
Fdisk刪除磁盤分區后,xp無法啟動。
任務二:使用DiskGen恢復分區,恢復系統
1.記錄(拷貝屏幕輸出)分區信息。
2.記錄DiskGen恢復分區的步驟。
Ctmouse:鼠標支持。
這里點擊備份分區表,圖中會出現空行,以方便新建分區,並不備份。
這里尤為重要,千萬不能刪除引導目錄,這是原有的dbr。
4.進入Windows XP,確認分區是否被恢復。
Xp啟動成功。
任務三:查找NTFS文件
1、創建一個“123”目錄,並在該目錄下,創建一個”txt”文本文件(文件大小>1KB)
2、使用WinHex查找目錄和文件在MFT的相關目錄項,記錄並做分析。
下面是磁盤分區的dbr。
由0x0d得到每簇扇區數為4,由0x30得到$MFT的起始簇號為2ad0b,故起始扇區號為4*2ad0b=701484(十進制)。
下面可以看到123.txt的文件記錄,可以右鍵選擇看文件內容或文件記錄。
可以看到該文件有3個屬性記錄,30屬性里可以看到文件名,80屬性里可以看到非常駐,文件大小,runlist等。看文件內容可以通過winhex提供的功能,也可以在0x1569796A~0x1569796c獲得數據開始簇號為2ad09,結合一簇4扇區求得文件位置。
3、刪除文件和目錄,使用WinHex查找目錄和文件在MFT的相關目錄項,記錄並做分析。
用shift+delete快捷鍵徹底刪除123.txt后,查看對應mft記錄,對比之前記錄,可發現,唯一變化的地方只有0x15697816-0x15697817由1改為0,此處表文件狀態。
任務四:恢復文件
記錄並說明對目錄和文本文件進行恢復過程,並對MFT相關項進行分析。
1.使用WinHex查找文件項,使用recover進行文件恢復。
2.使用WinHex查找修復的目錄和文件在MFT的相關目錄項,記錄並做分析。
我的做法是,利用winhex,查找123.txt的mft記錄,進而由起始簇進入文件內容處,選中並復制粘貼到一個新建文件里,記為noname.txt,顯然,與原文件內容相同,恢復成功。
十、實驗結論:
Ntfs與fat差別很大,里面所有東西全以文件的形式存在,mft文件記錄尤為重要,通過mft可以定位每一個文件。
十一、總結及心得體會:
通過本實驗,知道了fdisk跟diskgen的用法,了解了ntfs的文件存儲原理,果然跟fat差別很大。自己對B+樹學之不深,仍待提高。親自定位文件,方知ntfs的復雜,不過這樣的文件系統,打破了fat的很多局限,還有efs等結構,收獲匪淺。
十二、對本實驗過程及方法、手段的改進建議:
多些b+樹方面的實驗內容還是很好的。