硬盘存储原理

    硬盘存储是指以硬盘为存储介质的存储方式，是一种采用磁介质的数据存储设备，数据存储在密封于洁净的硬盘驱动器内腔的若干个磁盘片上。这些盘片一般是在以铝为主要成分的片基表面涂上磁性介质所形成，在磁盘片的每一面上，以转动轴为轴心、以一定的磁密度为间隔的若干个同心圆就被划分成磁道（track），每个磁道又被划分为若干个扇区（sector），数据就按扇区存放在硬盘上。在每一面上都相应地有一个读写磁头（head），所以不同磁头的所有相同位置的磁道就构成了所谓的柱面（cylinder）。

    传统的硬盘读写都是以柱面、磁头、扇区为寻址方式的（CHS寻址）。硬盘在上电后保持高速旋转（5400转/min以上），位于磁头臂上的磁头悬浮在磁盘表面，可以通过步进电机在不同柱面之间移动，对不同的柱面进行读写。所以在上电期间如果硬盘受到剧烈振荡，磁盘表面就容易被划伤，磁头也容易损坏，这都将给盘上存储的数据带来灾难性的后果。

    硬盘的第一个扇区（0道0头1扇区）被保留为主引导扇区。在主引导区内主要有两项内容：主引导记录和硬盘分区表。主引导记录是一段程序代码，其作用主要是对硬盘上安装的操作系统进行引导；硬盘分区表则存储了硬盘的分区信息。计算机启动时将读取该扇区的数据，并对其合法性进行判断（扇区最后两个字节是否为0x55AA或0xAA55 ），如合法则跳转执行该扇区的第一条指令。所以硬盘的主引导区常常成为病毒攻击的对象，从而被篡改甚至被破坏。可引导标志：0x80为可引导分区类型标志；0表示未知；1为FAT12；4为FAT16；5为扩展分区等等。

winhex

    是一款以通用的 16 进制编辑器为核心，专门用来对付计算机取证、数据恢复、低级数据处理、以及 IT 安全性、各种日常紧急情况的高级工具： 用来检查和修复各种文件、恢复删除文件、硬盘损坏、数码相机卡损坏造成的数据丢失等。

Final data

    FinalData具有强大的数据恢复功能当文件被误删除（并从回收站中清除）、FAT表或者磁盘根区被病毒侵蚀造成文件信息全部丢失、物理故障造成FAT表或者磁盘根区不可读，以及磁盘格式化造成的全部文件信息丢失之后，FinalData都能够通过直接扫描目标磁盘抽取并恢复出文件信息（包括文件名、文件类型、原始位置、创建日期、删除日期、文件长度等），用户可以根据这些信息方便地查找和恢复自己需要的文件。甚至在数据文件已经被部分覆盖以后，专业版FinalData也可以将剩余部分文件恢复出来。

任务一：用Winhex查看硬盘信息

1、为虚拟机添加一块硬盘

新建一个D盘

 

 

 

 

 

 

 2、 打开物理磁盘c盘，可以查看与编辑硬盘信息

3、根据看到的信息，查找资料，分析硬盘的分区信息。

   

 任务二：用Winhex找回被删除文件

1、建立反删除目标文件

 在d盘下新建文本文件

 

 

 

 删除文件（注意永久删除而不是放到回收站）

 

  可以看到winhex自动查找硬盘文件系统，查找后找到被删除文件，被删除文件与存在的文件颜色不同：

 

 

 右键该文件，点击恢复/复制

可以看到文件已被恢复到指定目录

 

 

 任务三：用Final data恢复被删除的文件

 

 

 

 

 

     可以看到文件的内容与被删前无误，也可以点击恢复选择一个路径保存文件再查看。