1、第四篇 攻击的检测与响应,第8章 攻击的检测与响应,实验81:Windows中的日志分析,在入侵行为发生时或者发生之后,需要网络管理人员和网络安全人员进行详细的分析、取证工作。日志在分析、取证工作中占有相当重要的地位。因为日志文件记录了网络中的事件以及黑客攻击的痕迹,所以黑客如果想要将自己的攻击痕迹清除,必须要删除受害系统中的日志文件。,实验81:Windows中的日志分析,1、日志的定义:日志是记录所发生事件(任何有意义事情的发生叫事件)的清单。多数操作系统都已经有内置的记录事件的能力,只不过在默认情况下没有开启而已。通过开启日志记录的功能,可以查看、分析日志,从而获得网络维护所需要的信息。
2、根据服务器所开启的不同服务,日志文件通常有应用程序日志,安全日志、系统日志、DNS服务器日志、FTP日志、WWW日志等不同类型。当黑客用流光探测时(比如IPC$等探测),就会在安全日志里迅速地记下流光探测时所用的用户名、时间等等;用FTP探测时,也会立刻在FTP日志中记下IP、时间、探测所用的用户名和密码等等。甚至连流光启动时需要的msvcp60.dll动态链接文件也会被记录(如果服务器没有该文件都会在日志里记录下来)。所以很多国内黑客不拿国内主机探测,因为管理员记下黑客的IP后会很容易地找到黑客。此外,还有Scheduler日志也很重要,经常使用的srv.exe就是通过这个服务来启动的,它记
3、录着由Scheduler服务启动的所有行为(如服务的启动和停止等)。,实验81:Windows中的日志分析,2、日志文件默认位置:日志分为应用程序日志、安全日志、系统日志、DNS日志等。日志文件的默认位置是%Systemroot%System32Config,默认文件大小512KB,一般管理员都会改变这个默认大小。(1)安全日志文件:%Systemroot%System32ConfigSecEvent.evt 。 (2)系统日志文件:%Systemroot%System32ConfigSysEvent. evt。 (3)应用程序日志文件:%Systemroot%System32ConfigAp
4、pEvent. evt。 (4)在Internet信息服务环境中FTP站点日志文件的默认存储位置是%Systemroot%System32LogfilesMsftpsvc1,默认每天产生一个日志文件。 (5)在Internet信息服务环境中WWW站点日志文件的默认存储位置是%Systemroot%System32LogfilesW3svc1,默认每天产生一个日志文件。 (6)Scheduler服务日志默认位置:%Systemroot%Schedlgu.Txt。,实验81:Windows中的日志分析,3、日志在注册表里的位置:主要指应用程序日志,安全日志,系统日志,DNS服务器日志等文件的位置。
5、默认情况下这些Log文件在注册表中的位置是在HKEY_LOCAL_MACHINESystemCurrentControlSetServicesEventlog下。 有的管理员很可能将这些日志重定位。其中EventLog下面有很多的子表,里面可查到以上日志的定位目录。默认情况下Schedluler服务的日志存在于注册表中 的HKEY_LOCAL_MACHINESOFTWAREMicrosoftSchedulingAgent下。,实验81:Windows中的日志分析,4、FTP和WWW日志:FTP日志和WWW日志在默认情况下,每天生成一个日志文件,包含了该日的一切记录,文件名通常为ex(年份)(月
6、份)(日期)。例如ex001023,表示2000年10月23日产生的日志,用记事本就可直接打开它。,实验81:Windows中的日志分析,(1)FTP日志实例: #Software: Microsoft Internet Information Services 5.0(表示微软IIS5.0) #Version: 1.0 (表示版本1.0) #Date: 20001023 0315 (表示服务启动时间日期) #Fields: time cip csmethod csuristem scstatus 0315 127.0.0.1 1USER administator 331 (表示IP地址为12
7、7.0.0.1,用户名为administator的用户试图登录) 0318 127.0.0.1 1PASS 530 (表示登录失败) 032:04 127.0.0.1 1USER nt 331 (表示IP地址为127.0.0.1,用户名为nt的用户试图登录) 032:06 127.0.0.1 1PASS 530 (表示登录失败) 032:09 127.0.0.1 1USER cyz 331 (表示IP地址为127.0.0.1用户名为cyz的用户试图登录) 0322 127.0.0.1 1PASS 530 (表示登录失败) 0322 127.0.0.1 1USER administrator 3
8、31 (表示IP地址为127.0.0.1用户名为administrator试图登录) 0324 127.0.0.1 1PASS 230 (表示登录成功) 0321 127.0.0.1 1MKD nt 550 (表示新建目录失败) 0325 127.0.0.1 1QUIT 550 (表示退出FTP程序)从日志里就能看出IP地址为127.0.0.1的用户一直试图登录系统,换了四次用户名和密码才成功,管理员立即就可以得知黑客的入侵时间、IP地址以及探测的用户名。如:上例入侵者最终是用administrator用户名进入的,那么就要考虑更换此用户名的密码,或者重命名administrator用户。,实
9、验81:Windows中的日志分析,(2)WWW日志实例: WWW服务同FTP服务一样,默认情况下产生的日志也是存储在%Systemroot%/System32/LogFiles/W3SVC1目录下。默认情况下每天产生一个日志文件,下面是一个WWW日志文件。 #Software: Microsoft Internet Information Services 5.0 #Version: 1.0 #Date: 20001023 03:091 #Fields: date time cip csusername sip sport csmethod csuristem csuriquery scst
10、atus cs(UserAgent) 20001023 03:091 192.168.1.26 192.168.1.37 80 GET /iisstart.asp 200 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt) 20001023 03:094 192.168.1.26 192.168.1.37 80 GET /pagerror.gif 200 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt) 通过分析,可以看出2000年10月23日,IP地址为192.168.1.2
11、6的用户通过访问IP地址为192.168.1.37机器的80端口,查看了一个名为iisstart.asp的页面,这位用户的浏览器为compatible;+MSIE+5.0;+Windows+98+DigExt。,实验81:Windows中的日志分析,(3)取证:有经验的管理员就可通过安全日志、FTP日志和WWW日志来确定入侵者的IP地址以及入侵时间。即使黑客删掉FTP和WWW日志,还是会在系统日志和安全日志里记录下来。但是在系统日志和安全日志中只是记录了黑客的机器名,并没有黑客的IP地址。,一、实验目的,掌握配置计算机系统以记录事件,能够查看并且分析系统事件。,二、实验设备,2台主机:一台Wi
12、ndows XP Professional,另一台Windows 2K Server(可以是WIN2000或WIN2003)。,三、实验步骤,1、在Windows 2K Server PC机上建立审核。 在Windows中默认情况下没有建立安全审核,需要配置想要记录的事件。开始程序管理工具本地安全策略本地策略审核策略审核帐号登录事件。 (1)选中“成功”复选框。 (2)选中“失败”复选框并选择“确定”钮,关闭本地安全策略窗口。,三、实验步骤,2、注销并重新登录Win2K主机,执行将会产生日志条目的任务。 (1)从Win2K主机上注销。 (2)用一个并不存在的用户帐号qjy身份登录,屏幕出现不能
13、登录的错误提示,进行(3)步。 (3)用一个存在的用户帐号zff身份登录,但登录时使用一个错误的密码,屏幕出现不能登录的错误提示,进行(4)步。 (4)现在以一个正式用户zff、输入正确密码的方式登录进去。 (5)注销。 (6)以管理员身份重新登录。,三、实验步骤,3、在Windows 2k Server上分析日志条目。 (1)单击开始程序管理工具事件查看器选中安全日志,如图8-1。 图8-1 事件查看器 (2)在详细信息窗格中,双击底部的条目来打开事件属性,如图8-2。 图8-2 失败事件详细信息 注意:该日志条目是未能登录的企图,它也带有尝试登录的用户名。 (3)关闭日志条目。 (4)双击
14、倒数第二个失败的事件。注意:这次看到的是一个正确的用户名,但密码不对。 (5)关闭事件。 (6)双击zff 审核成功事件,如图8-3。 图8-3 成功事件详细信息 注意:这次以正确的用户名和密码登入。这可能表示用户第一次输错了密码而后又记起了正确的密码,还有可能表示一个针对密码的攻击是在失败几次之后成功的。 (7)关闭事件查看器。,三、实验步骤,4、扩展:可以将此实验进行扩展,在访问默认Web站点、默认FTP站点时观察安装IIS的主机上产生什么样的日志。,四、实验小结,将日志记录功能由默认的不启动变为启动的话,可以查看出网络中的很多事件。通过这些事件可以获得是否在网络中有用户对主机进行猜口令攻
15、击等黑客行为。同理,本实验还可以扩展到FTP和HTTP站点的日志中去。当然,如果采用第三方日志审核工具效果会更好。,实验82:使用基于主机的入侵检测系统Blackice,入侵检测系统(Intrusion Detection System,简称IDS),是对入侵行为进行检测的软件与硬件的组合。它通过收集和分析计算机网络或计算机系统中的信息流,检查网络或主机系统中是否存在违反安全策略的行为和被攻击的迹象。入侵检测系统位于防火墙之后,可对网络活动进行实时检测。它可以记录和禁止网络活动,被看作是防火墙的延续,可以与防火墙系统配合工作。IDS可扫描当前网络的活动,监视和记录网络的流量,根据定义好的规则来
16、过滤主机网卡上的流量,提供实时报警。在发现入侵后,IDS会及时做出响应(如:切断网络连接、记录到时间日志中并报警等)。一个成功的IDS不但可以使系统管理员实时了解网络系统的动态变化,还能为安全策略的制定提供参考。,实验82:使用基于主机的入侵检测系统Blackice,常见的入侵检测系统有两种架构类型:NIDS系统和HIDS系统。 1、基于网络的IDS系统(NIDS):这种架构要求监控网络的计算机的网卡被设置为“混杂模式”。这样,该机就可以侦听到整个网络中所有的数据(代表产品有:Snort和SessionWall等)。NIDS系统会扫描并实时监控整个子网内所有的通信。NIDS系统对黑客扫描和DO
17、S攻击很有效,但是在交换的网络和ATM网络中效果不理想。NIDS系统对非法登录、木马攻击、帐号密码的篡改、日志文件的篡改等攻击行为效果也不理想。使用NIDS时应该注意以下几点: (1)NIDS系统应该和其他监控的网络使用集线器连接在一起,这样才能捕获到网络中所有的数据包。 (2)如果网络设备使用的是交换机,可以通过两种方法实现对网络的监控: 可以通过交换机配置把所有其他端口上的数据包复制并转发一份到“镜像”端口,并让该端口与NIDS相连。否则,NIDS只能够捕获到该主机所连接的交换机端口上的所有数据包。 把交换机的“镜像”端口级联到集线器上,再把NIDS接到集线器上。,实验82:使用基于主机的
18、入侵检测系统Blackice,2、基于主机的IDS系统(HIDS):因为监控的只是某台主机的情况,所以在交换机的环境下使用没有问题,可以跨越路由器监控其他子网中的资源。HIDS的代表产品有Symantec Intruder Alert,Blackice等。Blackice是免费且功能强大的HIDS产品。它能将一些现象文件以其它的协议分析器能够读取的格式写到硬盘上。所以,在一个安全的环境下,它比一般的嗅探程序更加有用。它是非混杂模式的,仅仅监听进出某台主机的数据包。对于用户来说它并不是要取代防火墙,而是阻止企图穿过防火墙的入侵者。它有非常强大的检测和分析引擎,可以识别200多种入侵,还能实时监测
19、网络端口和协议、拦截所有可疑的网络入侵。而且它还可以查出那些试图入侵的黑客的NetBIOS(WINS)名、DNS名或黑客所使用的IP地址。该软件的灵敏度和准确率非常高,稳定性也相当出色,系统资源占用率极少,是个轻量级的HIDS。,一、实验目的,了解并掌握Blackice入侵检测系统的配置,掌握入侵行为发生时IDS的响应情况。,二、实验设备,2台以上的Windows主机。,三、实验步骤,1、安装并配置。 (1)在A机上安装基于主机的入侵检测系统Blackice。安装成功后,在开始菜单栏的右下角出现了蓝眼睛图标,如图84。 图84 Blackice的图标 (2)双击该图标,弹出Blackice设置
20、的对话框,在“Events”标签卡中进行原始事件的查看,如图85。 图85 查看原始事件 (3)点击“Tools”菜单栏Edit Blackice Settings,如图86。 图86 编辑Blackice的配置 (4)在“Firewall”标签卡中进行如图87的设置。 图87 “Firewall”标签卡的设置,三、实验步骤,(5)在“Packet Log”标签卡中按照如图88进行设置。 图88 “Packet Log”标签卡的设置 (6)在“Evidence Log”标签卡中按图89进行设置。 图89 “Evidence Log”标签卡的设置 (7)在“Communications Cont
21、rol”标签卡中按图810进行设置。需要等待一会儿,Blackice根据现在主机系统运行状态设置基线。 图810 “Communications Control”标签卡的设置 (8)在“Application Control”标签卡中选择Enable前的复选框,如图811。需要等待一会儿,该IDS为系统的应用程序设置基线。 图811 “Application Control”标签卡的设置 (9)点击“确定”钮之后,“Intruder”标签卡中无黄色警告的主机了,如图812。 图812 设置完成后“Intruder”标签卡的状态,三、实验步骤,2、开始入侵。 (1)另一台主机B利用自己的计算机管
22、理与A主机进行连接,Blackice的图标会变成黄色(Windows 2000 Server主机会变成红色)并闪烁。此时打开Blackice,可以发现入侵者,如图813。 图813 黑客机B开始入侵时“Intruder”标签卡的状态 (2)主机C利用计算机管理与A机进行连接,也会出现同样的效果,如图814。可以查看出主机B与主机C的一些基本情况,如图815。 图814 黑客机C开始入侵时“Intruder”标签卡的状态 图815 查看黑客主机的基本情况 (3)点击“Event”标签卡,可以发现增加了一些入侵事件,如图816。 图816 查看增加的入侵事件 (4)切换到“History”标签卡,
23、可以查看历史的事件及网络流量。 (5)可以尝试在对A机进行DOS或者DDOS攻击时(可以在远程主机运行),Blackice的状态,以及攻击成功与否。,四、实验小结,即使实验机上不安装杀毒软件和防火墙,基于主机的IDS也含有自动切断危险应用程序的功能。它将现在应用程序的工作状态与基线进行比较,一旦超出基线允许范围便报警并自动切断危险应用程序的运行(无论该程序是否与其它主机建立起连接)。,实验83:蜜罐技术的使用(选作),尽管建立日志和入侵检测系统对于在网络上检测攻击很有价值,但也有一些它们不去收集的有价值信息。例如,如果检测到某主机对80端口的扫描,就可能知道攻击者正打算在80端口上做什么。但是
24、,如果80端口没有打开,就永远找不出攻击者想要做什么。蜜罐就是为了解决这个问题而引入的。蜜罐是个像真正的计算机那样运行并响应的设备,同时会记录活动。该设备用于两个目的: (1)攻击者发现了带有“开放端口”的主机将会更有可能去攻击那个系统(因为大多数攻击者遵循最易渗透的原则,攻击最脆弱的部分)。这样,通过吸引攻击者远离其他网络设备的方法,蜜罐增加了网络的安全性。 (2)去收集有关蓄意攻击的更详细的信息。,一、实验目的,了解并掌握蜜罐技术的原理,学会安装并配置蜜罐,掌握使用蜜罐来检测、分析攻击,并且为攻击创建自定义警报。,二、实验设备,2台Windows主机,一台Windows XP,另一台为Wi
25、ndows 2000 Server(Windows 2003 Server也可)。,三、实验步骤,1、在Windows 2k Server主机上停止IIS服务:单击“开始”程序管理工具服务双击IIS服务,停止或禁用IIS服务(停止这些真正的服务以便能够利用蜜罐伪造服务)。,三、实验步骤,2、安装并配置蜜罐: (1)在Windows 2k Server上运行Kfsensor,按照默认的设置步骤进行安装。重新启动后将会自动开始Kfsensor蜜罐安装。 (2)重新启动主机后,标注着“Set up Wizard”的界面将打开,单击Next在“Domain”界面的“Domain Name”框中,输入“
26、”并单击Next。 (3)在“Email Alerts”界面,单击Next(本实验将不使用e-mail警报)。 (4)出现“Components”界面(该界面列举蜜罐将会模拟的服务),单击Next来接受默认设置的值。 (5)在“System Service”界面中,选中“Install as a System Service”框并单击Next。这样,不管任何人登录,蜜罐都将在后台运行。 (6)在“Finish”界面中,单击Finish。安装向导将会关闭,并且将会看到Kfsensor用户界面,如图817。 图817 Kfsensor主界面 (7)在Kfsensor菜单条上,单击ScenarioE
27、dit Scenario,如图818,选中Main Scenario并单击Edit,如图819。 Scenario(剧本)是模拟服务器表现方式的清单,依赖于连接企图的类型。该界面列举了蜜罐正在监听的端口。正在监听的每一个端口都有一个名字,它通常指示连接的类型,也将会列出协议、端口以及如果检测到连接时将会采取的行动。 图818 编辑Scenario 图819 设置Main Scenario,三、实验步骤,(8)选中“IIS”并单击Edit:此界面允许修改行为,并说明了模拟服务器将会模仿IIS服务器的程度,如图820。 图820 修改Main Scenario的设置 (9)单击“OK”,关闭“Ed
28、it Listen”界面,增加一条规则来检测netbus木马。 (10)在“Edit Scenario”界面中,点击“Add”。在弹出的“Add Listen”界面中: “Name”框中,输入netbus。 对于“Protocol”,选中TCP。 “Port”框中,输入20034(如果此端口已经有规则进行监视,可以换为其它端口)。 在“Bind Address”框中,选中All。 在“Action”部分中,选中Read And Close。 在“Severity”框中,选中High,如图821。 图821 增加检测netbus入侵的规则 单击“Ok”,关闭“Add Listen”界面。 单击“
29、Ok”,关闭“Edit Scenario”界面。 单击“Ok”,关闭“Edit Scenarios”界面。,三、实验步骤,3、在Windows XP计算机上发送攻击。 (1)进入DOS窗口。 (2)运行nmap:键入nmap o -sS 192.168.100.102并按ENTER键(192.168.100.102为Windows 2k Server的IP)。看到许多端口是打开的,尤其注意端口80是打开的。 (3)键入telnet 192.168.100.102 80并按ENTER键。 (4)键入get并按ENTER键两次,获得了服务器的类型标识为IIS。 (5)攻击者进行攻击: 运行Inte
30、rnet Explorer,在地址栏中键入http:/192.168.100.102/scripts/%255c/winnt/system32/cmd.exe?/cdir+winnt的命令,并按ENTER键。 这样将会得到一条错误消息“The page cannot be found”。这是因为停止了真正的Web服务器。如果蜜罐能够捕获到此攻击,则继续之后的步骤。既然目录遍历攻击不起作用,攻击者就会立刻查看192.168.100.102上是否运行了netbus服务器端的程序。 运行netbus:键入192.168.100.102,并单击“Connect”钮,连接并不成功。,三、实验步骤,4、检
31、查日志。 在Windows 2k Server上,攻击已经产生了几百个条目,这些中的大部分都源于Nmap扫描。 (1)在树型窗格中,单击80 IIS。 (2)双击自顶部的第三个条目,这是Nmap扫描的一部分。注意:在Received部分中的底部没有请求(那是因为它仅是一个扫描,没有发送请求),这就暗示它是一个扫描。 (3)关闭EventDetails窗口。 (4)双击自顶部的第二个条目,这是旗语(旗语有助于哄骗攻击者相信在目标处有一台真正的服务器)请求。注意:“get”请求被捕获,并留意所给出的响应。 (5)关闭Event Details。 (6)双击顶端的条目,这是目录遍历攻击。注意:在接收
32、框中所发送的完整命令(这是个明显的攻击)。 (7)关闭Event Details。 (8)在树型窗格中,滚动到20034 netbus项并选中它。注意:尽管没有这个特定攻击的条目,但在定义之后仍然能够捕获这个企图。,四、实验小结,完成本实验后可以学到:怎样安装和配置蜜罐、怎样创建自定义警报、怎样查看并分析日志。,实验84:备份与恢复,备份数据是能够实施的最重要的安全措施之一。即使熟练地配置了防火墙,更新了病毒特征库、入侵检测系统正在运行,灾难也可能会发生。如果数据被销毁或者被破坏,找回数据的唯一希望来自于恰当地配置了备份。利用Windows自带的功能可以实现正常备份、差异备份、增量备份。正常备
33、份将会复制所有指定文件,备份占用时间长,恢复时间最快。差异备份会复制所有自最后一次完整备份以来更改过的所有文件,备份时间短,恢复时间长。增量备份是备份自最后一次备份以来的所有数据(不管是完整备份,还是差异备份或者增量备份),备份时间较差异备份更短,恢复数据时间更长。恢复文件同样很重要。如果恢复时进行了不正确的配置,会产生灾难发生时一些关键数据尚未保存的可怕后果。处于恢复状态时要对介质进行写保护操作,不应该在此状态时随便删除数据。,实验841:利用Windows自带的工具实现备份与恢复(选作),一、实验目的,学会利用Windows自带的工具对某个资源内容进行备份,掌握配置计算机来备份指定的数据,
34、掌握数据丢失后恢复数据的方法。,二、实验设备,1台XP主机,1台Win2k Server主机。,三、实验步骤,1、在Win2k Server主机上登录,创建网络共享并映射网络驱动器。 (1)在C盘上创建一个名为data的文件夹,右击属性: 在“共享”标签卡中设置共享。 在“安全”标签卡中清除默认的“允许继承权限”的复选框,在弹出的“安全”窗口中点击“移除”,并且让管理员对此文件夹的权限设置为“完全控制”。 (2)在XP主机上:开始运行192.168.0.102并按回车键(其中,192.168.0.102为Win2k 主机IP),在屏幕提示的连接到Win2k主机的对话框中输入Win2k主机上的用
35、户名、口令。右击data网络共享并选中“映射网络驱动器”,选中H作为驱动器的盘符并关闭各个窗口。,三、实验步骤,2、XP主机上创建新文件:在XP主机的“我的文档”中新建一个名为userdocuments的文件夹,在此文件夹中用写字板(Wordpad.exe程序)创建3个文件。 (1)在文件1(名为f1)中输入如下的内容(如果是空文件,将不被备份): 你好,机器猫!我是阿童木!(日本) (2)在文件2(名为f2)中输入如下的内容: 你好,蓝精灵!我是丁丁!(欧洲) (3)在文件3(名为f3)中输入如下的内容: Hello,唐老鸭!我是米老鼠!(美国),三、实验步骤,3、配置并运行完整备份。 (1
36、)开始运行ntbackup,在“备份和恢复”向导对话框中,点击“高级模式”单击“备份”标签卡,“备份”标签卡所在的界面底部是选择备份的目的地,如图8-22。 图8-22 备份向导界面 (2)创建两个备份脚本:一个是userdocuments文件夹的完整备份,另一个是差异备份。 展开“我的文档”并选中userdocuments复选框。 在“备份介质或文件名”文本框中,键入f:full-backup.bkf。 点击“工具”菜单选项:看到默认备份类型是正常型(完全备份),即所有文件都将被保存,点击“确定”。 单击“工作”“保存选择”,在“文件名”框中,键入full-mydocs-backup,选中左
37、边的“我的文档”文件夹,并单击“保存”(这是执行保存文件并完成所选择类型的备份任务的脚本文件)。 单击“开始备份”。 此后备份程序将允许在追加或替换已存在的数据之间选择。追加数据不会覆盖原数据,只是将它添加到最后一次备份的尾部。这将耗用更多的空间,但保留了备份的更多副本,替换数据将会节省空间但仅保留了最后一次备份的数据。 单击“开始备份”,完成时单击“关闭”并最小化“备份工具”窗口。,三、实验步骤,4、在userdocuments文件夹中,删除f2,双击f1,并将f1的内容修改为: 你好,日本的机器猫!我是美国的兔巴哥! 5、配置并运行差异备份。还原“备份工具”窗口,单击“工作”“新建”选中u
38、serdocuments复选框,在“备份介质或文件名”文本框中,键入f:Diff-Backup.bkf单击“工作”在“保存选项为”的文件名框中,键入diff-mydocs-backup并点击“保存”点击“开始备份”点击“高级”标签卡选择差异备份为备份类型,如图823。点击“确定”钮确保“追加”被选中,单击“开始备份”钮,完成时关闭并最小化“备份工具”。 图823 选择备份类型,三、实验步骤,6、删除所有文件:进入userdocuments文件夹,物理删除该文件夹中的所有文件。 7、恢复完整备份并检查文件。 (1)在“备份工具”窗口上,单击“恢复并管理介质”标签卡,在左边展开文件,将会看到完整备
39、份、差异备份的两个备份会话。 (2)双击左边列出的完整备份,选中右边的C驱动器复选框。 (3)确保在“恢复文件至”框中选中“原始位置”。 (4)单击“开始恢复”钮,点“确定”。 (5)在“确定验证名字/位置”对话框上,点“确定”。 (6)在“检查备份文件位置”界面中,确保文本框是F:Full-backup.bkf,并单击“确定”。恢复过程将会启动,恢复完成时单击“确定”并最小化“备份工具”,返回至userdocuments文件夹中,包括删除的文件。 (7)双击f1。注意:此时打开的f1仍然是未修改前的。,三、实验步骤,8、恢复差异备份并检查文件。 (1)还原“备份工具”窗口。 (2)在“恢复和
40、管理介质”标签卡中,在左边选中“差异备份”并选中右边的复选框。 (3)点击“开始恢复”钮。 (4)在“确认恢复”界面,单击“确定”钮,恢复过程将启动。恢复完成时单击“关闭”钮,最小化“备份工具”。返回到userdocuments的文件夹中,包括原先被删除的文件。 (5)双击f1,在做完差异恢复之后f1还是原先的f1。,三、实验步骤,9、再次恢复差异备份并检查文件。 (1)还原“备份工具”窗口。 (2)在“恢复并管理介质”标签卡中,在左边选中差异备份并选中右边的复选框。 (3)点击“工具”菜单中的“选项”,选中“恢复”标签卡。 (4)选中“总是替代我主机上的文件”,点击“确定”钮。 (5)确保复
41、选框被选中,单击“开始恢复”钮。 (6)在“确认恢复”界面中,点击“确定”钮,恢复过程将启动。恢复完成时点击“关闭”,返回到userdocuments窗口。双击f1,此时f1是最新的版本。注意:f3仍在那里。观察被改变的文件和被删除的文件哪个更易于在备份中报告?观察日志是否报告了文件的删除。 (7)还原备份工具窗口,单击“工具”报告,并双击“备份报告”窗口中的最后一条报告,观察三个恢复的时间。,四、实验小结,Windows自带的工具可以实现备份与恢复。完全备份与差异备份是不一样的。,实验842:利用EasyRecovery工具实现备份与恢复,除了使用Windows自带的备份、恢复工具外,还可使
42、用第三方工具EasyRecovery来进行误删除、误格式化数据的恢复。当我们从计算机中删除文件时,它们并未真正被删除,文件的结构信息仍然保留在硬盘上,除非新的数据将之覆盖了。EasyRecovery使用复杂的模式识别技术找回分布在硬盘上不同地方的文件碎块,并根据统计信息对这些文件碎块进行重整。接着EasyRecovery在内存中建立一个虚拟的文件系统并列出所有的文件和目录。即使整个分区都不可见、或者硬盘上只有非常少的分区维护信息,EasyRecovery仍然可以高质量地找回文件。,一、实验目的,了解利用EasyrRecovery工具进行删除恢复或格式化恢复的原理,掌握利用EasyRecover
43、y工具进行删除恢复或格式化恢复的方法。,二、实验设备,1台Windows。,三、实验步骤,1、以删除恢复为例,先把d:zff文件夹全部物理删除掉(即同时按下Shift+Delete键),再运行EasyRecovery软件。在该软件中点击左侧的“数据恢复”钮,如图824。 图824 EasyRecovery软件主界面 2、在图825的界面中选择D磁盘分区。 图825 选择要恢复的磁盘分区 3、点击“下一步”,如图826。选中zff,使之恢复到E盘根目录,如图827。 图826 选择恢复的源位置 图827 选择恢复的目标位置 4、在图827界面中点击“下一步”钮,E盘根目录下有了zff文件夹。里面的内容与删除之前一模一样,如图828。 图828 成功恢复的效果 5、EasyRecovery软件还有磁盘诊断、格式化恢复、文件修复等功能,大家可以自己实践。,四、实验小结,利用EasyRecovery找回数据、文件的前提就是硬盘中还保留有该文件的信息和数据块。但在我们删除文件、格式化硬盘等操作后,再在对应分区内写入大量新信息时,这些需要恢复的数据就很有可能被覆盖了。所以,为了提高数据的修复率,一旦不小心误删除文件或误格式化硬盘后,千万不要再对要修复的分区或硬盘进行新的读写操作。如果要修复的分区恰恰是系统启动分区,那就马上退出系统,用另外一个硬盘来启动系统(既采用双硬盘结构)。,
