手把手演示：用法证通恢复并找到已删除文件

为了让演示更加清晰，在这里模拟一个删除文件的过程，然后逐步教大家如何使用法证通这个工具恢复并找到被删除的文件。

创建目标文件并删除掉

如下面两个图所示，我首先在 H:\ 盘中创建了两个文件 CDF319.txt和改了后缀的CDF319.jpg，两个文件在内容上是一样的，我只修改了一下后缀名。

删除文件后如下图，H盘内显示为空 。（彻底删除，需要清空回收站）

打开法证通、新建案件

打开法证通软件，新建案件项目，注意填写好相关信息。

创建镜像

由于我们之前删除的是H盘内的文件，因此镜像的目标盘是H盘，所以在做磁盘镜像的时候，选择H盘。

注意选择创建的镜像保存位置

镜像制作好后，生成了一个H.txt文件，打开后的信息为制作时间、哈希值，如下所示：

2019-03-19,22:16:06

4176837 个扇区已成功复制

0 个坏扇区。

[计算哈希值]

MD5 值: d81cc1613a6e800b5e17abf7e1c7dc8b

SHA1 值: 8af6117e627b3dd6b9bbf326edfac2c12f06f783

添加镜像进行分析恢复

之前我们选择的镜像保存位置是桌面，所以我在点击“添加镜像”按钮后（左上图），选择在桌面的镜像文件H.E01，注意要勾选数据恢复功能里的“删除恢复”选项（右边竖图）。

加载完H盘镜像后，会看到E01镜像文件下出现几个文件夹，如下图

筛选并找到被删除的文件

全选磁盘镜像文件桌面删除文件回收站里没有，通过文件名过滤出需要恢复的删除文件cdf316（注意：如果不确定文件格式，需要输入cdf316*，需要加*号）如图

全选需要导出的文件，右键导出。

导出后去相应的文件夹，找到被删除的文件如下图

为了方便描述，该演示单独用H盘来进行操作，情况会比较简单些，实际操作中的情况可能会稍复杂，注意使用正确的恢复途径。

为何CDF学员都如此优秀？

其他几位学员梳理总结时画的思维导图

如果你要问我，为何参加CDF的学员都能如此配合高难度培训，我现在的回答是：我也不知道了。

他们面对每天的学习任务，一做就是几个小时，经常到深夜；我们无法想象他们需要克服多大的困难，比如出差、哄娃，然后用尽一天最后的精力去完成我们无情的学习任务……

这是真的感动，我们甚至担心，我们的服务、课程内容和教学配不上这么优秀的他们，所以我们必须更加努力。

完

还是那句话：

最好的学习方式不过两种，一是从书本中学桌面删除文件回收站里没有，二是向牛人学。

虽然他们是来CDF训练营学习的，但是我们从他们身上学习到了更多，最重要的是不论出于何种境地都不停止学习的精神。

我们的培训，没有多享受的待遇，反而很严格、辛苦，压力大，也许无法吸引大批生源，但总有些人和我们一样坚信：没有轻而易举获得的经验、没有不经锻造磨炼的能力。

正是他们支持我们继续在这条小众却励志的路上一直坚持。

[后续会有更多学员精彩分享，请持续关注！]