FAT32： 总结构：   MBR   DBR   备份   FAT表1   FAT表2   数据区   DBR重要偏移描述：   偏移 解释 备注 00-02 跳转指令 固定EB5890 0B-0C 每扇区字节数 固定0002 0D 簇大小 具体算法☆ 0E-0F DBR保留扇区 具体算法★ 10 FAT表个数 固定为02 1C-1F 起始扇区 DBR 20-23 扇区总数 容量○ 24-27 FAT表大小 具体算法● FE-FF 结束标志 固定55AA     重建FAT32的DBR：从其他分区复制一个完好的FAT32的DBR   ①☆簇大小={（扇区总数-2✖FAT表大小-DBR保留扇区）/512}✖4   ②★DBR保留扇区=FAT表1起始-DBR（向下搜索F8FFFF0F找到FAT表1的起始）   ③●FAT表大小=FAT表2起始-FAT表1起始（再次向下搜索F8FFFF0F找到FAT表2起始）   ④○容量=DBR下一扇区的E8-EC的数据✖簇大小（得到的是大概值，向上下搜索!00即可）   根目录重要偏移描述：   相对偏移 解释 备注 00-07 文件名 没用到的为20 08-0A 扩展名   0B-0B 文件属性   14-15 文件起始簇号 高位 1A-1B 文件起始簇号 低位 1C-1F 文件大小 字节数 文件属性解析：   00000000（读/写）、00000001（只读）、00000010（隐藏）、00000100（系统）、00001000（卷标）、00010000（子目录）、00100000（存档）   下图为根目录的某个文件描述结构图：       手工提取文件：   找到根目录：固定在2号簇   根目录起始扇区=FAT表大小✖2+DBR保留扇区+DBR起始扇区   根目录中每32字节描述一个文件记录，记录中相对偏移14-15为文件起始 簇号的高位，1A-1B为文件起始簇号的低位，偏移1C-1F为文件大小（字节数）。   例子：       所以该文件为1.doc，起始簇号为00 00 00 0C（高位从右往左读，低位一样） 文件大小为00 26 00 00（16进制字节数） 文件起始位置=（文件起始簇号-2）✖簇大小+DBR+根目录起始扇区   如何 在没有FAT表的情况下提取碎片：   首先看DOC文件头的最后一个扇区分配表，然后所得的值MOD 128（一个配置表可以记录128个扇区），再乘以4后，向下搜索FDFFFFFF，且偏移为512=取余后乘以4的值。    ...

手工提取文件 一：找到DBR 二：搜索F8FFFF找到两个FAT表，然后算出FAT大小， 然后算出RD(根目录的位置=fat大小*2+fat1扇区位置) 三： 四：起始簇号减去根目录的簇号，也就是2号，再乘每簇扇区数，然后加上根目录的位置就是文件的起始扇区，然后算出大小，提取。 ***根目录簇号一般为2 五：在根目录删除的情况下，找到目录第一个文件的起始簇号，找到分区第一个文件的扇区位置，然后拿要提取的文件簇号减去第一个文件的起始簇号，乘每簇扇区数，然后加上分区第一个文件的扇区位置，然后就可以跳到你想要提取的文件的起始扇区位置， 原理和减去根目录簇号是一个概念，只是相对分区第一个文件的起始簇号。 碎片手工提取 方法一:出题人竟然出了碎片提取，那FAT表肯定会留一个好的，目录也不会删除，即使删除根目录，文件在子目录的情况下，可以建一个新盘，复制一个根目录过来，然后重新给他写一个文件目录，只需要文件的起始扇区，名字无所谓，这样一来，在不删除FAT表的前提下只需要修复DBR就可以打开这个分区把文件提取出来， 方法二：找到根目录，看起始簇号，找到需要恢复的文件起始簇号，比如12，那么跳到FAT表，就看13，然后文件是从12开始，只是在FAT表里面表示13，然后找到不连续的数，那么不连续的这个数就是这个文件的第二段起始，以此类推，把几段提出来，然后用winhex中的合并工具，合并，恢复。 碎片提取详解 1，看根目录， 2，看8号文件，找到低位，这里是9号簇起始 大小.50,788 3，然后 跳到fat表，如果根目录是09,（9号簇）那么FAT表就是看10号簇（0A）然后看0A后面 的4个字节就是他下一个碎片的起始， 4， 5，然后跳到他下一个碎片的起始，一直到ffffff0f，不包括ffffffof 所以这个文件一共有两段，一段是从9-10号簇 还有一段就是58-62号簇 把两段提出来，保存不需要后缀 9. 最后使用ALT+K文件合并，然后设置一个文件名，这里是8.docx 然后附加1然后附加2，附加2之后就直接保存 ...