引导语

最近我算是闲的没事(bushi)写一篇关于如何提取NTFS分区文件的文章。主要是最近很多人还是不会怎么去修复NTFS分区并提取,如果学会了修复NTFS分区的话,可以学习一下怎么提取文件。
注:如果没学过WinHex的基础操作的话,建议先看我以前的硬盘分区文章在学习这篇文章。

步骤

第一步,寻找NTFS分区

首先,你要有WinHex这个软件,没有的可以找我以前的一篇硬盘分区的文章,里面有安装包。
根据这次定的目标,这次我们需要提取666.doc的文件。
接着,用WinHex打开我们需要提取数据的硬盘,找到我们的NTFS分区的DBR,找到我们的分区簇数,如图:

第二步:寻找NFTS分区的文件

记住我们的分区簇数后,我们就要去找他的用户的文件目录,方法是在这个NTFS分区的主MFT元文件向下偏移70个扇区(如果分区簇数是08可以从DBR向下偏移6291456个扇区就可以到主MFT)计算的公式在我的硬盘分区文章有说过。
找到文件目录后,用搜索(Ctrl+F)查找文件名,找到”FF FF FF FF”前8个字节,找到文件位置文件大小,如图:
在数据解释器中复制他们的十进制值(一个字节8bit,两个字节16bit,以此类推)然后乘分区簇数得出位置和大小
计算公式:文件位置/文件大小的十进制值×分区簇数=文件位置/文件大小
我这里计算的文件位置是63656
文件大小是56

第三步:提取NTFS分区的文件

回到NTFS的DBR,向下偏移刚刚计算的文件的位置数值(以扇区为单位偏移),给当前扇区的第一个字节右键,做一个”选块起始”
然后偏移刚刚计算的文件的大小数值(同样以扇区为单位偏移)。在当前扇区的最后一个字节做一个“选块结束”*。
最后在被框选的区域鼠标右键→编辑→复制选块→至新文件,保存你提取的文件,文件名填写找到的文件名字(后缀名也要加上!!!
我提取出来的文档是这个(doge):

后记

WinHex这个软件在数据恢复占重要地位,所以有时间的话自己可以模拟一个硬盘自己练习。