计算机取证技术实验报告.docVIP

windows平台逻辑层数据恢复 实验目的： 通过运用软件R-Studio_5.0和winhex对误格式化的硬盘或者其他设备进行数据恢复，通过实验了解windows平台逻辑层误格式化数据恢复原理，能够深入理解并掌握数据恢复软件的使用方法，并能熟练运用这些软件对存储设备设备进行数据恢复。 实验要求： 运用软件R-Studio_5.0和winhex对电脑磁盘或者自己的U盘中的删除的数据文件进行恢复，对各种文件进行多次尝试，音频文件、系统文件、文档文件等，对简单删除和格式化的磁盘文件分别恢复，并检查和验证恢复结果，分析两个软件的数据恢复功能差异与优势，进一步熟悉存储介质数据修复和恢复方法及过程，提高自身的对存储介质逻辑层恢复技能。 实验环境和设备： （1）Windows XP 或Windows 2000 Professional操作系统。 （2）原始硬盘（或U盘）一个，目标硬盘一个。 （3）或者可用U盘（或其他移动介质）和软件R-Studio_5.0和winhex安装包。 四、实验内容： （1）熟悉R-Studio的操作界面和该软件的使用，掌握该软件的数据恢复方法，并运用该软件按步骤对硬盘或优盘进行逻辑层数据恢复。 （2）熟悉Winhex的操作界面和该软件的使用，掌握该软件的数据恢复方法，并运用该软件按步骤对硬盘或优盘进行逻辑层数据恢复。 （3）体会软件进行 windows平台逻辑层数据恢复的运行机制，并进行比较不同的数据恢复方法和原理。 五、实验步骤： （一）使用r-studio软件操作： 1．数据恢复。将要恢复文件的硬盘或者将要恢复文件的独立U盘连在计算机上，打开r-studio软件。 打开任意磁盘或者分区，右边显现文件有红色叉的表示删除的文件。 勾选该文件，“右击”选择“恢复标记文件”，设置文件输出路径，便可以恢复文件了。 点击某分区，右击选择“扫描”，进行“文件系统设置”选项设置后，点击“扫描”开始扫描磁盘 双击“红色盘符”，然后双击“额外找到的文件”，就可看到此文件系统下的恢复文件 右击选择“恢复标记的内容”，设置恢复的路径，此路径不能在此次扫描的磁盘中。 分别采用简单删除和格式化的方式删除磁盘文件，采用上述方法恢复并查看结果，采用上述方法恢复不同的文件不同大小的文件，系统文件等。 使用Winhex软件操作： 1．以管理员身份运行Winhex，打开Winhex主界面。 选择Tools菜单中的Open Disk打开所需磁盘。 3. 再选择Tools菜单中的Disk Tools下的File Recovery by Type根据文件类型恢复数据。 4. 在左边文本框中选择需要的文件类型，在右边输入恢复数据的数出文件夹，点击左下角“OK”按钮开始恢复数据。 5.查看恢复的数据。 六、实验结果： 查看到U盘中有红色×删除的文件： 恢复后存在文件夹，但是文件夹为空。接下来开始扫描磁盘： 扫描磁盘后，出现“红色盘符”，恢复文件： 恢复标记文件（U盘中的红色额外标记文件） 应验证标记的文字文档能够恢复，本机立即删除的音频文件、视频文件能够恢复到指定的路径下，其中存在不完整的视频文件，格式化的文件视情况有些不能完全恢复或者出现恢复失败。 使用Winhex软件操作，查看U盘中的文件： 选择恢复文件： 用Winhex恢复数据文件，在文件没有碎片的情况下的分区，每个分区下的根目录数据完好，也不能完全恢复，必须用Winhex修复底层代码后才能使用，分析用Winhex恢复的图片文件（来自U盘中,未整理碎片）： 有时候必须自己计算分区表来恢复数据，指定分区的起始位置等。 对U盘提示格式化后用R-Studio_5.0进行数据恢复，可以恢复对分区的误格式化，误删除文件，经验证对于硬盘分区打开提示格式化也是一样用，当然对于大量的文件系统更适合使用Winhex进行数据恢复。用R-Studio_5.0为分区的磁盘提供完整数据恢复的解决方案。当然采用U盘镜像方式、扫描镜像也可以完成数据恢复的工作。 心得体会： 通过这次简单的数据恢复实验和对数据恢复工具R-Studio_5.0和Winhex的使用，巩固了理论课所学的基本知识，进一步熟悉存储介质数据修复和恢复方法及过程，了解到windows平台逻辑层误格式化数据恢复原理，其中数据恢复软件的使用方法，运用这些基本的数据恢复的软件对存储设备设备进行数据恢复，其中恢复过程中也遇到了数据恢复不完整以及直接数据恢复失败的情况，并找到了问题所在，有些磁盘中存在大量碎片、通过磁盘扫描工具对磁盘进行磁盘扫描可以知道分区链损坏，不同格式的分区、这些都会造成磁盘恢复不完整或者失败的情况，将数据复原、分区表重建，也可以利用Winhex的强大功能，当然实验中做的不好的地方有