网络空间安全概论 实验8文件恢复 winhex文件恢复实验样例1

实验一文件系统取证一、实验目的1、通过使用WinHex软件，熟悉磁盘信息，从而了解存储机制；2、查看磁盘信息，及其使用状况；能够恢复已删除的文件；二、实验内容1、查看计算机磁盘及U盘的信息，及相应的文件信息；使用WinHex自动，手动恢复文件；三、实验步骤下载WinHex工具，打开文件夹中的WinHex.exe文件，熟悉工作界面；打开相应的磁盘，查询信息，并进行相关的恢复操作。四、实验操作内容（一）查看FAT相关属性1）管理员运行：安装完WinHex之后，找到exe文件，点击鼠标右键，选择以管理员运行，这样权限大一些，否则有些功能无法使用。图1-12）打开磁盘：打开软件之后，找到软件的中左位置的小磁盘图标，如下图所示1-2所示。图1-23）选择下面的物理设备，这里我选择的是自己所创造的一个虚拟磁盘FAT16系统的。如下图1-3所示：图1-3MBR参数：打开之后的第一个扇区记录的便是磁盘的MBR，最后两个字节“55AA”为结束标志。从结束标志往上数4行为（16*4字节）为分区参数，如下图1-4所示。再向前4个字节为磁盘标志符，是唯一的，以此辨别不同磁盘，剩下的便是引导程序。图1-4 分区参数那16个字节一个代表一个扇区，我只给这个虚拟磁盘分了1个分区。16个字节的中的参数意义如下：分区参数表图1-5例如我这个磁盘里面的这个分区，第一个字节为“00”代表着为非引导扇区，接着的3个字节为起始的物理地址“000302”（小端序倒着读），“0E”为分区类型为FAT16类型的，“0470B4”为结束的物理地址。接下来“00000080”为逻辑起始地址，也是我们所用的，“003FE800”表示分区的大小。5）跳转至分区：将鼠标从“00”划到“80”，查看数据解释器转换数值即为第一个扇区所在逻辑地址（十进制的），“00000080”转为十进制便为128。图1-6按快捷键“alt+g”，弹出跳转框：选择从当前位置，单位设置为扇区图1-76）跳转到的扇区便是DBR扇区，里面记录了分区的参数。我们可以通过读取DBR里面的参数来查看分区的信息，也可以通过WinHex自带的功能快速读取分区参数信息。这里选择软件自带的功能读取，按快捷键“alt+f12”，弹出如下页面：图1-7这里由于我的分区是FAT16的，所以选择第一个，如果是FAT32的便选择第二个，然后点击应用即可。DBR参数如下所示：可以看到每簇64个扇区，保留扇区为8个，FAT表的个数为2，一个FAT表所占用的扇区个数为256个，根目录最大的记录项为512个，即根目录占32个扇区。图1-8（二）、FAT---删除文件的恢复1、自动恢复 ①将F盘中的一张图片“shift+del”键彻底删去图1-9 ②如下图1-10所示位置获取新快照图1-10 ③在快照中找到刚刚删去的照片，如下图1-11所示图1-11 ④点击右键，恢复，恢复路径保存于原来路径或其他位置都可以，如下图所示图1-12 图1-13 ⑤、恢复完后如图1-14所示，文件名变为了“？”，这是当文件被删去时，其第一个字节被替换为了“E5”所导致的。图1-14 2、手动恢复（法一） ①、来到DBR分区，然后使用快捷键”alt+g”键，先跳到第一个FAT表的起始位置那，有之前的DBR数据分析可知，保留扇区为8，所以跳8个扇区。图1-15②、跳到第一个FAT表起始位置之后，再跳一个FAT表的大小，到达第二个扇区，我这一个FAT表大小为256个扇区，所以跳256个扇区（当前位置跳）图1-16③因为有两个FAT表，所以再跳一个FAT表的大小扇区④到达根目录所在位置，如下图1-17所示，此位置为FAT１６所有，在FAT32中已经将其与DATA区合并，要是是FAT32文件系统，后面便不用跳过次区域。图1-17 ⑤在此处找到刚刚删去图片的信息，如下图1-18所示图1-18后四个字节为图片的大小，接着的“3F2B”为图片所在的簇号，要是FAT32的话还有可能高位簇号。记录下信息，大小：1166343字节簇号：16171⑥跳到数据区，计算图片的起始地址：（16171-2）*64=1034816，然后跳图片起始扇区，如下图所示：图1-19图1-20⑦到达图片的起始扇区之后，选择扇区的第一个字节，按“alt+1”快捷键选择块起始地址，接着跳转到1166343字节处，按“alt+2”快捷键选择块结束位置。如下图所示：图1-21图1-22⑧点击“Edit”，将其拷贝到到新文件当中，如下图1-23所示，恢复文件完毕，在保存的路径便可看到图片图1-233、手动恢复（法二）①还是以4.jpg为例子，WinHex中查看新的卷快照。找到已删除的文档，点击便可看到右边显示的是文档的内容，最下面有它的扇区号。光标自动定位到文件开头。如下图1-24所示：图1-24②接着按快捷键“alt+1”确定起始块，按文件大小跳到末端，与法一后几步一样。4、总结通过此次的实验，深刻的掌握了磁盘文件系统FAT16的结构，懂得了如何利用软件自动恢复文件和手动的恢复文件。在手动恢复的第一种方法虽然比第二种方法复杂一些，但是也能更加深刻的感受到文件系统的结构。（三）、分区属性查看（NTFS）1、打开磁盘，查看NTFS文件系统分区所在位置，如下图1-25所示图1-252、跳转到DBR分区之后，查看分区信息，如下图所示。图1-26图1-27可以知道每簇8个扇区，隐藏扇区为2048个，MFT表所在的簇号为786432，所以逻辑扇区号为6291456号扇区。（四）、删除文件的恢复（NTFS）1、自动恢复：方法与FAT的自动恢复流程一样，创建镜像，找到恢复的文件，点击恢复即可。2、手动恢复法（1） ①将图片1.jpg按快捷键“shift+del”键彻底删除。图1-28②从MBR处跳2048个隐藏扇区，到达DBR所在扇区图1-29③再跳到MFT起始位置，跳6291456（由磁盘属性那计算得出）扇区。可以通过扇区的开头部分是否为“FILE”标识符来确定是否到达了MFT表位置，通过记录项看是否为全0来判断是否位于MFT的开始位置。图1-30④到达MFT表后，使用TXT方式搜索，输入搜索内容为“09193408.jpg”，匹配项为Unicode编码，搜索的方向为向下，搜索结果如图1-32所示，有时候可能需要多搜索几次，因为可能有相同的文件。图1-31图1-32重点查看80属性，可以知道图片数据所在的簇号为13336（3418转十进制），所占的簇个数为265个，图片实际大小为1,083,621字节（1088E5转化而来）⑤跳到文件所在扇区，106688=13336*8扇区，得回到分区开始位置那跳（这点需要注意）。找到图片起始扇区后，设置第一个字节为块起始位置。图1-33⑥跳图片大小的字节数，如下图1-34所示，然后设置块结束位置图1-34图3-35⑦将块数据导出保存到新文件当中图1-36⑧成功恢复图片图1-36（五）、模拟计算机查找文件过程1、例如模拟计算机在ntfs文件系统中查找以下的一个文件，其在根目录下的一个computeforensics文件夹里面，如图1-37所示。图1-372、如上面所示的先找到MFT区域，然后在MFT开始处跳10个扇区到达root记录项图1-38在该区域找到A0属性，查看其运行数据，确定其簇的大小和起始位置图1-393、从分区开始处跳到root文件所在位置图1-40然后找到computeforensics文件夹的记录，找到名字之后向上找5行，第一行的前6个字节便是文件在MFT中的序号图1-41