Ddigital-Forensics-Lab-5

实验目的

使用 winhex 对删除的文件进行恢复。

实验环境

安装有 winhex 的 windows 系统、shiyan.vhd 文件。

实验步骤

1、将 shiyan.vhd 挂载到C盘。

2、找到 MFT 中 paper.zip 的位置。

3、ctrl + f 搜索关键词 paper 。

4、在上方复制并查找16进制数值。

5、由下图可以获取以下消息：文件大小：1226D8(十进制 1189592)；簇数：1123；首簇号：042D(十进制 1069)。

6、ctrl + g 搜索首簇号的位置。

7、alt + g 输入文件大小查找末bit的位置。

8、保存为paper.zip，解压后发现获得了一个PDF文件，恢复成功。