網絡空間安全概論 實驗8文件恢復 winhex文件恢復實驗樣例1

實驗一文件系統取證一、實驗目的1、通過使用WinHex軟件，熟悉磁盤信息，從而了解存儲機制；2、查看磁盤信息，及其使用狀況；能夠恢復已刪除的文件；二、實驗內容1、查看計算機磁盤及U盤的信息，及相應的文件信息；使用WinHex自動，手動恢復文件；三、實驗步驟下載WinHex工具，打開文件夾中的WinHex.exe文件，熟悉工作界面；打開相應的磁盤，查詢信息，并進行相關的恢復操作。四、實驗操作內容（一）查看FAT相關屬性1）管理員運行：安裝完WinHex之后，找到exe文件，點擊鼠標右鍵，選擇以管理員運行，這樣權限大一些，否則有些功能無法使用。圖1-12）打開磁盤：打開軟件之后，找到軟件的中左位置的小磁盤圖標，如下圖所示1-2所示。圖1-23）選擇下面的物理設備，這里我選擇的是自己所創(chuàng)造的一個虛擬磁盤FAT16系統的。如下圖1-3所示：圖1-3MBR參數：打開之后的第一個扇區(qū)記錄的便是磁盤的MBR，最后兩個字節(jié)“55AA”為結束標志。從結束標志往上數4行為（16*4字節(jié)）為分區(qū)參數，如下圖1-4所示。再向前4個字節(jié)為磁盤標志符，是唯一的，以此辨別不同磁盤，剩下的便是引導程序。圖1-4 分區(qū)參數那16個字節(jié)一個代表一個扇區(qū)，我只給這個虛擬磁盤分了1個分區(qū)。16個字節(jié)的中的參數意義如下：分區(qū)參數表圖1-5例如我這個磁盤里面的這個分區(qū)，第一個字節(jié)為“00”代表著為非引導扇區(qū)，接著的3個字節(jié)為起始的物理地址“000302”（小端序倒著讀），“0E”為分區(qū)類型為FAT16類型的，“0470B4”為結束的物理地址。接下來“00000080”為邏輯起始地址，也是我們所用的，“003FE800”表示分區(qū)的大小。5）跳轉至分區(qū)：將鼠標從“00”劃到“80”，查看數據解釋器轉換數值即為第一個扇區(qū)所在邏輯地址（十進制的），“00000080”轉為十進制便為128。圖1-6按快捷鍵“alt+g”，彈出跳轉框：選擇從當前位置，單位設置為扇區(qū)圖1-76）跳轉到的扇區(qū)便是DBR扇區(qū)，里面記錄了分區(qū)的參數。我們可以通過讀取DBR里面的參數來查看分區(qū)的信息，也可以通過WinHex自帶的功能快速讀取分區(qū)參數信息。這里選擇軟件自帶的功能讀取，按快捷鍵“alt+f12”，彈出如下頁面：圖1-7這里由于我的分區(qū)是FAT16的，所以選擇第一個，如果是FAT32的便選擇第二個，然后點擊應用即可。DBR參數如下所示：可以看到每簇64個扇區(qū)，保留扇區(qū)為8個，FAT表的個數為2，一個FAT表所占用的扇區(qū)個數為256個，根目錄最大的記錄項為512個，即根目錄占32個扇區(qū)。圖1-8（二）、FAT---刪除文件的恢復1、自動恢復 ①將F盤中的一張圖片“shift+del”鍵徹底刪去圖1-9 ②如下圖1-10所示位置獲取新快照圖1-10 ③在快照中找到剛剛刪去的照片，如下圖1-11所示圖1-11 ④點擊右鍵，恢復，恢復路徑保存于原來路徑或其他位置都可以，如下圖所示圖1-12 圖1-13 ⑤、恢復完后如圖1-14所示，文件名變?yōu)榱恕?？”，這是當文件被刪去時，其第一個字節(jié)被替換為了“E5”所導致的。圖1-14 2、手動恢復（法一） ①、來到DBR分區(qū)，然后使用快捷鍵”alt+g”鍵，先跳到第一個FAT表的起始位置那，有之前的DBR數據分析可知，保留扇區(qū)為8，所以跳8個扇區(qū)。圖1-15②、跳到第一個FAT表起始位置之后，再跳一個FAT表的大小，到達第二個扇區(qū)，我這一個FAT表大小為256個扇區(qū)，所以跳256個扇區(qū)（當前位置跳）圖1-16③因為有兩個FAT表，所以再跳一個FAT表的大小扇區(qū)④到達根目錄所在位置，如下圖1-17所示，此位置為FAT１６所有，在FAT32中已經將其與DATA區(qū)合并，要是是FAT32文件系統，后面便不用跳過次區(qū)域。圖1-17 ⑤在此處找到剛剛刪去圖片的信息，如下圖1-18所示圖1-18后四個字節(jié)為圖片的大小，接著的“3F2B”為圖片所在的簇號，要是FAT32的話還有可能高位簇號。記錄下信息，大?。?166343字節(jié)簇號：16171⑥跳到數據區(qū)，計算圖片的起始地址：（16171-2）*64=1034816，然后跳圖片起始扇區(qū)，如下圖所示：圖1-19圖1-20⑦到達圖片的起始扇區(qū)之后，選擇扇區(qū)的第一個字節(jié)，按“alt+1”快捷鍵選擇塊起始地址，接著跳轉到1166343字節(jié)處，按“alt+2”快捷鍵選擇塊結束位置。如下圖所示：圖1-21圖1-22⑧點擊“Edit”，將其拷貝到到新文件當中，如下圖1-23所示，恢復文件完畢，在保存的路徑便可看到圖片圖1-233、手動恢復（法二）①還是以4.jpg為例子，WinHex中查看新的卷快照。找到已刪除的文檔，點擊便可看到右邊顯示的是文檔的內容，最下面有它的扇區(qū)號。光標自動定位到文件開頭。如下圖1-24所示：圖1-24②接著按快捷鍵“alt+1”確定起始塊，按文件大小跳到末端，與法一后幾步一樣。4、總結通過此次的實驗，深刻的掌握了磁盤文件系統FAT16的結構，懂得了如何利用軟件自動恢復文件和手動的恢復文件。在手動恢復的第一種方法雖然比第二種方法復雜一些，但是也能更加深刻的感受到文件系統的結構。（三）、分區(qū)屬性查看（NTFS）1、打開磁盤，查看NTFS文件系統分區(qū)所在位置，如下圖1-25所示圖1-252、跳轉到DBR分區(qū)之后，查看分區(qū)信息，如下圖所示。圖1-26圖1-27可以知道每簇8個扇區(qū)，隱藏扇區(qū)為2048個，MFT表所在的簇號為786432，所以邏輯扇區(qū)號為6291456號扇區(qū)。（四）、刪除文件的恢復（NTFS）1、自動恢復：方法與FAT的自動恢復流程一樣，創(chuàng)建鏡像，找到恢復的文件，點擊恢復即可。2、手動恢復法（1） ①將圖片1.jpg按快捷鍵“shift+del”鍵徹底刪除。圖1-28②從MBR處跳2048個隱藏扇區(qū)，到達DBR所在扇區(qū)圖1-29③再跳到MFT起始位置，跳6291456（由磁盤屬性那計算得出）扇區(qū)?？梢酝ㄟ^扇區(qū)的開頭部分是否為“FILE”標識符來確定是否到達了MFT表位置，通過記錄項看是否為全0來判斷是否位于MFT的開始位置。圖1-30④到達MFT表后，使用TXT方式搜索，輸入搜索內容為“09193408.jpg”，匹配項為Unicode編碼，搜索的方向為向下，搜索結果如圖1-32所示，有時候可能需要多搜索幾次，因為可能有相同的文件。圖1-31圖1-32重點查看80屬性，可以知道圖片數據所在的簇號為13336（3418轉十進制），所占的簇個數為265個，圖片實際大小為1,083,621字節(jié)（1088E5轉化而來）⑤跳到文件所在扇區(qū)，106688=13336*8扇區(qū)，得回到分區(qū)開始位置那跳（這點需要注意）。找到圖片起始扇區(qū)后，設置第一個字節(jié)為塊起始位置。圖1-33⑥跳圖片大小的字節(jié)數，如下圖1-34所示，然后設置塊結束位置圖1-34圖3-35⑦將塊數據導出保存到新文件當中圖1-36⑧成功恢復圖片圖1-36（五）、模擬計算機查找文件過程1、例如模擬計算機在ntfs文件系統中查找以下的一個文件，其在根目錄下的一個computeforensics文件夾里面，如圖1-37所示。圖1-372、如上面所示的先找到MFT區(qū)域，然后在MFT開始處跳10個扇區(qū)到達root記錄項圖1-38在該區(qū)域找到A0屬性，查看其運行數據，確定其簇的大小和起始位置圖1-393、從分區(qū)開始處跳到root文件所在位置圖1-40然后找到computeforensics文件夾的記錄，找到名字之后向上找5行，第一行的前6個字節(jié)便是文件在MFT中的序號圖1-41