常驻文件提取 第一步：首先找到DBR这几个重要的参数 在没有DBR 的时候就往下搜索46494C 第二步：找到MFT的扇区位置，一般大盘就是在DBR的基础上往下跳786432*8=6291456 第三步：在MFT的基础下往下跳12个扇区找到bitmap，因为一个文件记录站两个扇区，所以bitmap在第6号文件记录， 第四步：跳到第35号文件记录，35号就是存放分区第一个文件的文件记录位置，那就是在MFT的位置往下跳70个扇区， 第五步：提出文件， 非常驻文件提取 前面一样，找到mft的位置，往下跳70个扇区，找到分区第一个文件的位置，然后在下面找到你要恢复的文件的文件记录， 数据流起始的大小（簇）乘每簇扇区数，然后加上dbr的位置，就是文件的起始位置，然后文件的大小（簇）乘每簇扇区数就是文件的扇区大小，然后将它提取出来就行了。 碎片提取 同样找到文件的文件记录，看到80属性，然后它的数据流会显示几段，先找到第一段的起始簇号及大小，然后算出第一块碎片的起始扇区和大小，提取出来，然后用第一块的起始扇区加上，第二块的起始大小，就等于第二块碎片的起始，然后算出大小提取出来，如果后面还有第三个碎片，原理也是一样的，然后利用winhex中的碎片合并功能，ALT+k合并，先填文件的名字，然后合并第一个，合并第二个。完成。...

DBR参数 但是在中盈的数据恢复软件中是打不开exfat分区的，在这里就需要手工提取文件。 手工提取文件 第一步： 往下非0（!00） 可以找到FAT表 然后继续往下非0（!00） 可以找到BITMAP 然后继续往下非0（!00） 可以找到大小写 然后继续往下非0（!00） 就到根目录了， 也可以直接搜索81000000找到根目录，但是为了防止运算，所以在这里用到了非0（!00） 看根目录， 手工提取文件需要几个条件，每簇扇区数，这个时候就需要看根目录文件的起始簇号，一般为4号簇 第一个文件的起始簇号是5，所以我们就以第一个文件做为起始，找到第一个文件的起始扇区，判断往下跳8/16/32/64/128/256、如果刚好在根目录的位置跳到了第一个文件的起始，那么这个数就是每簇扇区数，这个分区的每簇扇区数是256，然后我们要提2.doc，那么就需要拿2号文件的起始簇号减去第一个文件的起始簇号，然后乘每簇扇区数，加上第一个文件的起始扇区，就能将这个2.doc文件提取出来， 另外算每簇扇区数的方法还有，看第一个文件和第二个文件的起始簇号，表示，第一个文件的大小只占一个簇，所以我们拿第一个文件的开始到第二个文件的开始的字节数，除512个字节，表示这个文件占多少个扇区，然后这个文件刚好只占一个簇，所以这个分区的每簇扇区数是256....

手工提取文件 一：找到DBR 二：搜索F8FFFF找到两个FAT表，然后算出FAT大小， 然后算出RD(根目录的位置=fat大小*2+fat1扇区位置) 三： 四：起始簇号减去根目录的簇号，也就是2号，再乘每簇扇区数，然后加上根目录的位置就是文件的起始扇区，然后算出大小，提取。 ***根目录簇号一般为2 五：在根目录删除的情况下，找到目录第一个文件的起始簇号，找到分区第一个文件的扇区位置，然后拿要提取的文件簇号减去第一个文件的起始簇号，乘每簇扇区数，然后加上分区第一个文件的扇区位置，然后就可以跳到你想要提取的文件的起始扇区位置， 原理和减去根目录簇号是一个概念，只是相对分区第一个文件的起始簇号。 碎片手工提取 方法一:出题人竟然出了碎片提取，那FAT表肯定会留一个好的，目录也不会删除，即使删除根目录，文件在子目录的情况下，可以建一个新盘，复制一个根目录过来，然后重新给他写一个文件目录，只需要文件的起始扇区，名字无所谓，这样一来，在不删除FAT表的前提下只需要修复DBR就可以打开这个分区把文件提取出来， 方法二：找到根目录，看起始簇号，找到需要恢复的文件起始簇号，比如12，那么跳到FAT表，就看13，然后文件是从12开始，只是在FAT表里面表示13，然后找到不连续的数，那么不连续的这个数就是这个文件的第二段起始，以此类推，把几段提出来，然后用winhex中的合并工具，合并，恢复。 碎片提取详解 1，看根目录， 2，看8号文件，找到低位，这里是9号簇起始 大小.50,788 3，然后 跳到fat表，如果根目录是09,（9号簇）那么FAT表就是看10号簇（0A）然后看0A后面 的4个字节就是他下一个碎片的起始， 4， 5，然后跳到他下一个碎片的起始，一直到ffffff0f，不包括ffffffof 所以这个文件一共有两段，一段是从9-10号簇 还有一段就是58-62号簇 把两段提出来，保存不需要后缀 9. 最后使用ALT+K文件合并，然后设置一个文件名，这里是8.docx 然后附加1然后附加2，附加2之后就直接保存 ...

那就丢了呗，还能咋办！...