苏州市职业大学实习（实训）报告名称数据备份与灾难恢复实训2013年1 月7 日至2013 年1 月8日共2 天院系计算机工程系班级10网络安全(CIW)姓名胡帅帅系主任李金祥教研室主任谭方勇指导教师高小惠、肖长水项目一、Windows基本硬盘管理一、实训要求：通过实训掌握windows2003中增加主分区、扩展分区的操作，掌握在扩展分区中增加逻辑分区的操作，学会使用Winhex软件分析硬盘分区表结构二、实训步骤：1．在windows2003中增加主分区、扩展分区（1）首先关闭虚拟机系统，然后选择VMware Workstation菜单栏“VM”｜“Settings”或快捷键Ctrl+D，在弹出的“Virtual Machine Settings”窗体中，单击“Add”按钮，选择要添加的硬件类型（Hardware types:）为“Hard Disk”，然后单击“Next”按钮，选中“Create a new virtual disk”，然后单击“Next”按钮，选择磁盘类型（Virtual disk type）为“SCSI”，然后点击“Next”按钮，设置磁盘大小（Disk size）为1G，然后单击“Next”直到完成。

如图1-1所示：图1-1：添加一个1G的硬盘（2）重启Windows系统环境。

依次单击“开始”｜“程序”｜“管理工具”｜“计算机管理”，打开“计算机管理”工具。

（3）在左侧控制台中依次展开“存储”｜“磁盘管理”选项，此时弹出“磁盘初始化和转换向导”页签，默认单击“下一步”直至完成，以显示计算机中安装的所有磁盘。

如图1-2所示：图1-2：完成磁盘初始化向导（2）右击磁盘1未指派空间，选择“新建磁盘分区”，点击“下一步”，选择“主磁盘分区”，点击“下一步”，分区大小选择“500MB”，点击“下一步”，指派驱动器号F，然后选择格式化磁盘分区文件系统为NTFS，点击“下一步”直至完成新建向导，如图1-3、1-4所示：图1-3：新建主磁盘分区图1-4：新建主磁盘分区完成（3）右击磁盘1未指派空间，选择“新建磁盘分区”，开始新建磁盘分区向导，点击“下一步”，选择“扩展磁盘分区”，点击“下一步”，分区大小选择默认的“517MB”，然后选择格式化磁盘分区文件系统为NTFS，点击“下一步”直至完成向导，如图1-5、1-6所示：图1-5：新建扩展磁盘分区图1-6：新建扩展磁盘分区完成2．在扩展分区中增加逻辑分区（1）右键单击刚刚新建的扩展磁盘分区，选择“新建逻辑驱动器”，点击“下一步”，在“选择要创建的磁盘分区”中选择“逻辑驱动器”，点击“下一步”，选择默认的分区大小“517MB”，然后指派驱动器号G，点击“下一步”直至完成新建向导，如图1-7、1-8所示：图1-7：选择“逻辑驱动器”图1-8：新建逻辑分区完成3. 使用Winhex软件分析硬盘分区表结构（1）单击工具栏“WinHex”按钮，打开WinHex。

单击“工具”｜“打开磁盘”，在逻辑驱动器中选择“（F：）”，确定。

通过WinHex可以看到新加卷F中所包含的目录、文件、文件分配表的大小和起始位置等相关信息。

如图1-9所示：图1-9：用WinHex分析磁盘F的分区表结构（2）用同样的方法打开逻辑驱动器G，如图1-10所示：图1-10：用WinHex分析磁盘G的分区表结构三、项目小结：通过对本项目的上机操作，我掌握了在Windows Server 2003操作系统中增加主分区和扩展分区的操作，掌握了在扩展分区中增加逻辑分区的操作。

我还学会了通过WinHex软件来查看磁盘中所包含的目录、文件、文件分配表的大小和起始位置等相关信息，并进一步使用Winhex软件来分析硬盘分区表的具体结构。

项目二、FAT32文件恢复一、实训要求：通过实训了解Windows文件系统，了解FAT32文件系统的工作原理，能够运用工具恢复被删除的文件，学会手动恢复被删除的文件。

二、实训步骤：一．手工恢复文件1．使用WinHex打开D盘查看各项参数（1）格式化D盘在“资源管理器”左侧树状结构中，右键单击“本地磁盘（D:）”|“格式化”|在文件系统中选择“FAT32”|“开始”|“确定”，对D盘进行格式化。

如图2-1所示：图2-1：对D盘进行格式化（2）使用WinHex获取D盘快照单击工具栏“WinHex”按钮，打开WinHex。

单击“工具”｜“打开磁盘”，在逻辑驱动器中选择“（D：）”，确定。

「注」不要选择“不要再显示此提示信息”，如果选中了则不能获取新快照。

可以通过“帮助”|“设置”|“初始化”来取消选择。

获取新快照后可以看到驱动器D中所包含的目录、文件、文件分配表的大小和起始位置等相关信息。

如图2-2所示：图2-2：用WinHex打开本地磁盘D（3）查看FAT1单击WinHex中D盘快照中文件列表中的FAT1即可查看FAT1。

单击FAT1中的数据可在左侧的参数框中看到数据所代表的簇号和簇的当前状态。

如图2-3所示：图2-3：查看FAT1的内容（4）计算FDT的起始位置在文件列表中可以看到FAT1和FAT2的第1扇区位置，FAT2是FAT1的备份，所以大小相等内容相同。

因此可以推算出它的大小为：FAT2的第1扇区位置－FAT1的第1扇区位置。

FAT1的大小是：2271 。

FDT的位置在FAT2之后，所以可以通过：FAT2的第1扇区位置＋FAT1的大小来得到FDT的起始位置。

FDT的起始位置的逻辑扇区编号是：4576 。

（5）跳转到FDT的起始地址单击“位置”|“转到扇区”|在扇区输入框中输入FDT的起始位置的逻辑扇区编号|“确定”，即可跳转到FDT的起始地址。

如图2-4所示：图2-4：跳转到FDT的起始地址（6）根据实验原理了解FDT表中的目录登记项的各部份含义。

2．创建文本文件在D盘根目录下新建文本文档“Hello.txt”，内容为“Hello World!”的文本文件。

文件名和内容使用英文是为了便于查找。

如图2-5所示：图2-5：在D盘根目录新建文本文件3．备份相关数据（1）重新获取磁盘快照此时弹出对话框提示“有快照可以重用”，单击“获取新快照”即可获得逻辑驱动器的当前快照。

如图2-6所示：图2-6：获取新快照（2）备份FDT中“Hello.txt”的目录登记项根据FDT的起始位置的逻辑扇区编号跳转到FDT的起始地址。

找到文件“Hello.txt”的登记项。

根据数据区右侧的明文找到倒数32个与文件“Hello.txt”相关的字节，即是文件的目录登记项。

如图2-7所示：图2-7：找到文件“Hello.txt”的登记项按住鼠标左键拖动选中文件“Hello.txt”的目录登记项的32个字节。

右键单击被选中的数据块|“编辑”|“复制选块”|“置入新文件”|将新文件命名为“FDTH.dat”保存位置是C盘根目录下|“保存”。

此时新文件会在WinHex中被打开。

如图2-8、2-9所示：图2-8：保存文件FDTH.dat图2-9：FDTH.dat在WinHex中被打开根据实验原理中对目录登记项各部份的定义，文件“Hello.txt”的文件名在目录登记项中的十六进制代码的第1字节的值是48 。

文件的大小是32 字节，在目录登记项中的十六进制代码是0C000000 。

文件的首簇编号是3 ，在目录登记项中的十六进制代码是0300 。

（3）备份FAT1中的相关数据参考FDT数据的备份步骤，将FAT1中的有效数据备份到C盘根目录下，文件名为“FAT1H.dat”。

（4）查看DATA区域中文件“Hello.txt”的数据单击“位置”|“转到扇区”|在簇输入框中输入文件“Hello.txt”的首簇号|“确定”，即可跳转到文件“Hello.txt”的起始地址。

如图2-10所示：图2-10：跳转到文件“Hello.txt”的起始地址4．删除文件在D盘根目录下选中文件“Hello.txt”，按“Shift+Delete”键将其删除。

5．查看删除标记（1）重新获取D盘快照。

（2）对比当前FDT中文件“Hello.txt”的目录登记项和FDTH.dat中的相关数据。

FDTH.dat中第一个字节是48 。

当前FDT中文件“Hello.txt”的目录登记项的第一个字节是E5 。

（3）对比FAT1中相关数据的变化。

FAT1H.dat中文件“Hello.txt”簇链相关位置的十六进制值是48 65 6C 6C 6F 20 57 6F 72 6C 64 21 00 00 00 00 。

上述位置的值在当前FAT1中相同位置的值48 65 6C 6C 6F 20 57 6F 72 6C 64 21 00 00 00 00 。

（4）查看DATA区域中文件“Hello.txt”的数据。

根据FDTH.dat记录的文件“Hello.txt”的首簇位置跳转相关簇并查看文件数据。

文件数据是否有变化？有6．根据备份数据恢复文件（1）根据备份数据FDTH.dat和FAT1H.dat恢复FDT与FAT1中的相关数据。

在FDT与FAT1的数据部分，用鼠标单击要修改的数据，然后通过键盘输入数值。

按“Ctrl+S”键保存上述修改。

出现提示信息，单击“确定”|“是”完成保存。

（2）刷新D盘根目录查看文件。

文件是否被恢复？文件被恢复了。

文件名是HELLO.TXT 。

如图2-11所示：图2-11：恢复已删除文件二．模糊恢复文件1．格式化D盘（1）重新对D盘进行格式化。

（2）使用WinHex重新获取D盘快照。

（3）对比格式化前后FDT和FAT1中数据的变化。

2．根据DA TA区的数据内容恢复文件（1）根据FDTH.dat中的记录跳转到文件“Hello.txt”首簇位置查看文件数据。

文件数据是否有变化？有。

（2）根据文件首簇位置和文件大小修改FDT和FAT1。

根据FDT的定义，文件“Hello.txt”的目录登记项中表示文件首簇位置的是第26 至27 字节。

根据DA TA区域中文件“Hello.txt”的相关内容，在这些位置中应填入0300 。

表示文件大小的是目录登记项中的第28 至31 字节。

根据DATA区域中的相关内容，在这些位置中应填入0C000000 。

根据DATA区的数据内容修改FAT1。

文件“Hello.txt”没有写满一个簇，因此找到文件“Hello.txt”在FAT1中的首簇位置写入“FF FF FF 0F”，表示文件结束。

（3）修改文件名。

表示文件名及其扩展名的是登记项中的第0 至10 字节。

此时，假设只知道文件类型是文本文件而不知道文件名，则可以在相关字节中填入其它十六进制值，但是必须保证这些值符合文件名命名规则。

0－7字节为文件名，可以全部填入十六进制值“46”；8－10字节为文件扩展名，填入十六进制值“54 58 54”。