实验二
实验题目:用应急工具箱收集易失性数据
实验目的:
1. 理解文件存放的原理,懂得数据恢复的可能性。
2. 丁解几种常用的数据恢复软件如Easy Recovery和RecoveryMyFiles
3. 使用其中一种数据恢复软件、恢复已被删除的文件,恢复己被格式化磁盘上的数据。
实验环境和设备:
(1) Windows Xp或Winfjows 2000 Professional操作系统。 (2)数据恢复安装软件。
(3)两张可用的软盘(或U盘)和一个安装有Windows系统的硬盘。
实验主要步骤和实验结果:
实验前的准备工作
在安装数据恢复软件或其他软件之前,先在计算机的逻辑盘(如D盘)中创建四个属于你自己的文件夹,如:Bak F'ilel(存放第一张软盘上的备份文件)、LostFile1(存放恢复第一张软盘后得到的数据) BakFile2(存放第二张软盘上的备份文件)和LoFile2(存放恢复第二张软盘后得到的数据)注意:存放备份文件所在的逻辑盘(如D盘)与你准备安装软件所在的逻辑盘(如C盘)不要相同,因为如果相同,安装软件时可能正好把你的备份文件给覆盖掉了。 (2) EasyRecovery安装和启动
这里选用Easy Recovery Professional软件作为恢复工具,点击Easy Recovery图标便可顺利安装,启动EasyRecovery应用程序,主界面上列出了Easy Recovery的所有功能:“磁盘诊断”、“数据恢复”、“文件修复”和“邮件修复”等功能按钮”在取证过程中用得最多的是“数据恢复”功能。
图 1 EasyRecovery安装和启动
图 2 EasyRecovery的数据恢复界面
(3)使用EasyRecovery恢复已被删除的文件。,
①将准备好的软盘(或U盘)插入计算机中,删除上面的一部分文件和文件夹如果原有磁盘中没有文件和文件夹,可以先创建几个,备份到BakFilel文件夹下,再将它删除。
②点击“数据恢复”,出现“高级恢复”、“删除恢复”、“格式化恢复”和“原始恢复”等按钮,选择“删除恢复”进行快速扫描,查找已删除的目录和文件,接着选择要搜索的驱动器和文件夹(A盘或U盘图标)。出现所有被删除的文件,选择要恢复的文件输入文件存放的路径D:LostFilel,点击“下一步”恢复完成,并生成删除恢复报告。
图 3 EasyRecovery选择恢复删除的磁盘
图 4 EasyRecovery扫描文件
图 5 EasyRecovery扫描结果
