常驻文件提取

第一步：首先找到DBR这几个重要的参数

在没有DBR 的时候就往下搜索46494C

第二步：找到MFT的扇区位置，一般大盘就是在DBR的基础上往下跳786432*8=6291456

第三步：在MFT的基础下往下跳12个扇区找到bitmap，因为一个文件记录站两个扇区，所以bitmap在第6号文件记录，

第四步：跳到第35号文件记录，35号就是存放分区第一个文件的文件记录位置，那就是在MFT的位置往下跳70个扇区，

第五步：提出文件，

非常驻文件提取

前面一样，找到mft的位置，往下跳70个扇区，找到分区第一个文件的位置，然后在下面找到你要恢复的文件的文件记录，

数据流起始的大小（簇）乘每簇扇区数，然后加上dbr的位置，就是文件的起始位置，然后文件的大小（簇）乘每簇扇区数就是文件的扇区大小，然后将它提取出来就行了。

碎片提取

同样找到文件的文件记录，看到80属性，然后它的数据流会显示几段，先找到第一段的起始簇号及大小，然后算出第一块碎片的起始扇区和大小，提取出来，然后用第一块的起始扇区加上，第二块的起始大小，就等于第二块碎片的起始，然后算出大小提取出来，如果后面还有第三个碎片，原理也是一样的，然后利用winhex中的碎片合并功能，ALT+k合并，先填文件的名字，然后合并第一个，合并第二个。完成。