Ddigital-Forensics-Lab-7
实验目的
学会使用 winhex 恢复硬盘分区。
实验环境
安装有 winhex 的 windows 系统、shiyan7.vhd 文件。
实验步骤
1、将 shiyan.vhd 挂载到C盘。
2、搜索 NTFS 的 MBR 十六进制特征码 EB5290 。
3、分析得第一个扇区的信息:分区大小(在偏移 0x28H处) :344063(0x53fff),结束扇区(见左下角):344191(0x54080);相减得起始扇区:128(80)。同理可得第二个扇区的信息:分区大小:303103(0x49fff) ,结束位置:647295(9e07f),起始扇区:344192(54080)。
4、在分区最前面找到分区终止符 55 AA ,在前面修改为正确分区。
5、保存后发现成功分区。
6、在第一个分区的 MFT 中 ctrl + f 搜索关键词 abc.txt 。
7、经过尝试发现搜索结果2是有效的。在上方复制并查找16进制数值。
8、由下图可以获取以下消息:文件大小:1B52(十进制 6994);簇数:D502;首簇号:07(十进制 07)。
9、ctrl + g 搜索首簇号的位置。
10、alt + g 输入文件大小查找末bit的位置。
11、保存为abc.txt,恢复成功。
