信息安全综合实验课程设计.doc

重庆邮电大学信息安全综合实验课程设计姓名：_ 班级： 专业：信息安全 目录1.主引导记录备份与恢复.32.破坏文件恢复.53.误格式化分区的文件恢复.94.误删除文件的恢复.141. 主引导记录备份与恢复 （1） 运行winhex工具，打开故障盘。将第0个扇区复制到1号扇区中，完成主引导扇区的备份。 （2） 将主引导记录部分破坏掉，将主引导代码置零，保存关闭。用故障盘引导观察发现系统无法正常启动。（3） 从工具盘启动，运行fixmbr修复主引导记录，然后用磁盘编辑工具观察主引导扇区的内容，和1号备份扇区内容作比较发现代码相同，说明已经成功修复。2. 破坏文件恢复 （1） 创建一个正常的word文档，通过winhex将word文档的文件头破坏，打开word文档，观察错误；（2） 通过winhex方式修复，写出修复步骤，手动改变文件头信息，再打开word文档，发现恢复正常。3. 误格式化分区的文件恢复在此实验中，由于在虚拟机上进行，而虚拟机只有一个分区，如果格式化后无法正常启动，故用一个u盘来进行实验，采用手动恢复的方式，实验如下：1.这是一个2g的u盘，我们在其中放入了一些数据作为测试，包括3张照片、2个word文档、2个excel文档、2个压缩文件以及一个文件夹，基本可以代表了一般用户有价值的数据类型。2.在windows中，将该盘格式化。3打开u盘的属性，可以看到已用空间为4k，这是磁盘在格式化过程中建立的引导信息，现在盘上没有任何用户数据。启动winhex，按功能键f9，打开u盘。打开u盘后，在winhex中可以看到该盘现在100% free，空白。现在开始恢复照片。手工恢复是按照文件格式类型分别提取的，双击“照片恢复”开始执行。（此脚本为我们自行开发的，用户下载的软件中并不包含）软件开始运行，这是在扫描中。扫描结束，这是最终恢复出来的照片。可以看到，恢复的照片要比原来的多，我们需要的照片也在其中。手工恢复就是这样的特点：全盘扫描，只要是此种格式，以前存在过，并且没有被覆盖，就全部提取，恢复结束后再自行整理；不能还原原来的文件名和路径，同类型的文件恢复到同一目录下。如图：用同样的过程，依次提取恢复word、excel、rar文件。这是最终恢复的word文件，和照片恢复的特点是一样的。其他文件格式的恢复不再一一展示。验证恢复的数据是否正常。恢复结束。4. 误删除文件的恢复1.建立一个文本文件这个文件很简单，内容也很少，我保存这个文件后，然后然后我们来看看这个文件大小信息，如下图所示：我们看到，这个文件大小是224个字节，等下恢复这个文件的时候就可以对比一下。之后我就删除了这个文件，现在，我们看看怎么恢复这个文件！2.用winhex打开分区我们运行winhex，然后点击菜单：工具-打开磁盘，来打开g盘。如下图所示：我们可以找到$mft这个文件，（$mft：（master file table）文件。主文件列表。此文件是ntfs分区中最重要的文件，记录了分区中所有文件（包括$mft自身）的基本信息。通过$mft就可以访问分区中的所有文件和系统数据。$mft由多个mft记录单元组成，每一个文件的描述占用一到多个（一个不够的情况下）$mft记录单元。其中前十二个记录单元中记录着这里的十二个系统文件的信息。每个记录单元记录着文件的建立时间、在分区中的位置、长度、属性、文件名等信息。）然后右击它，然后点击打开，之后就会打开这个文件mft。如下面两个图所示：因为，我们只需要在mft找到我们丢失的文件，如果我们在整个分区里搜索并且这个分区很大的话，会要很多时间的，而mft文件就小得多了，最大也就1g左右，这是我人为弄出来的，一般系统是很难见到这么大的mft文件的，除非你是做服务器，有很多磁盘碎片和小文件。之后，我们可以点击菜单中的：搜索-查找文本。如下图所示：我们输入我们想要恢复的文件名helloworld，而且注意，要选择unicode。因为mft的文件名是unicode形式的，之后就是查找了！一会我们就找到了这个文件，如下图所示：为了能使用winhex的颜色，我们转到分区去看这个文件记录！首先，我们看到这个文件记录在mft的偏移地址是7450h，然后我们在winhex中转到我们分区的视图，然后点击mft文件，这样就偏移到了我们mft文件的位置，然后选择菜单中的：位置-转到偏移位置。然后输出7450，位置是从当前位置开始！如下图所示：之后，我们就找到了这个文件记录，如下图所示： 我们看图的左边，文件记录号是29，我们看上图的蓝色框，那个是文件记录的标识：file。那么我们怎么知道这是个被删除的文件呢，一种办法是直接在文件记录头上看，如上图的红色框，那2字节为文件记录偏移16h处，0表示文件已被删除，1表示这个文件在使用，2表示是个目录等等。 现在我们去查找文件记录中的数据属性，这个属性是80h开头，好在winhex有这个颜色分类，很容易找到，如上图的橙色框所示。下面我们集中抽取这个数据属性来分析，如下图所示： 我们一个一个来分析框中的内容表示的意思，第一个红色的框表示这是个数据属性，值是80h。橙色框：0表示这是个常驻属性，即这个文件的内容就在这个文件记录中，如果是1就表示这是个非常驻属性，那么我们要获取数据就得从运行中一个一个的计算获得，这个在下期讲解！蓝色框的4个字节表示这个文件的数据大小：e0h，折合十进制就是224，即这个文件大小是224个自己，记得我在前面讲过吗，上面还有文件大小的截图呢！绿色框的4个字节表示这个文件的数据的偏移位置18h，这个偏移从这个数据属性的开始位置计算，就是上图中的80h位置，这个位置这样计算：75b0h + 18h = 75c8h。然后，我们就可以由这个数据的偏移位置和大小得到这个文件的数据，如紫色框表示。 最后，我们用鼠标来选择这些数据（选择的数据的颜色会变的），然后点击右键，选择：编辑-复制选项块-植入新文件，如下图所示