信息技术安全课程实验一：修改引导区标记、恢复被删除的文件（exFAT文件系统）

实验目的

学习硬盘数据存储基础知识，了解FAT32文件系统存储格式，掌握文件在意外删除后的文件恢复技术；

实验工具

Winhex软件（下载链接），U盘

实验内容

A、对U盘完成克隆备份，修改U盘主引导区或引导区标记55AA为0000，验证该标记对U盘读写有何影响？修改主引导区或引导区的前500字节数据为00（55AA不修改），验证修改对U盘读写有何影响？

B、在U盘新建子目录mu,然后在该目录下新建文件testqazwsxedc.txt，输入内容“this is test 信息安全”，另外再随机粘贴文字，文件长度需要大于2个簇并保存。删除该文件，然后用winhex软件恢复该文件（恢复采用两种方式，一种是基于工具的自动恢复，一种是手工操作的恢复）。

实验过程

注：实验中使用的U盘为exFAT文件系统。

A. 修改引导区的内容

（1）修改引导区标记55AA为0000

① 按下F9选择磁盘F（U盘）。

② 创建磁盘镜像。

③ 将主引导区标记55AA修改为0000。

④ 系统提示无法写入也无法读取。


⑤ 用镜像文件恢复U盘。

（2）将前500字节数据改为0000

① 在另一个引导区，将55AA前的数据都改为0000并保存。


可以发现对U盘读写并无影响。

B. 创建文件然后删除并恢复

（1）基于工具的自动恢复

① 本次实验中采用的U盘属于exFAT文件系统，其每簇为131072字节，即128KB。

② 在U盘新建子目录mu,然后在该目录下新建文本文件“test.txt”，输入大于2个簇（即256KB）的文字。

③ 删除文件test.txt后，利用winhex的恢复功能进行恢复。

④ 可以看到test.txt文件恢复成功。

（2）手工操作的恢复

① 再次删除test.txt文件。由于实验过程中删除了三次，所以有三个test.txt文件的记录。

② 回到根目录，定位到mu目录。exFAT文件系统中，05开头表示一个目录项，所以可以发现mu目录中有3个目录项，对应三次被删除的test.txt文件。

③这里选择第三次被删除的test.txt文件进行恢复。打开数据解释器，点击图中“97”，可以看到起始簇号为919簇。

点击图中位置“B2”，可知文件大小为263346字节。

④ 跳转到919簇。

⑤ 可以发现正是test.txt中的内容，按Alt+1选作起始位置。

⑥ 将263346转为16进制即404b2，跳转到404b2字节，来到文件末尾，按Alt+2选作尾部，即可选定整个test.txt的内容。

⑦ 复制选块至新文件保存。

⑧ 即可成功恢复test.txt文件。

参考资料：
https://www.bilibili.com/video/BV1ey4y1H7mU/
https://blog.csdn.net/Kiolng/article/details/105300528