2024年4月10日发(作者:)

手工定位NTFS格式文件

第一步:

如图所示,在E盘中有一张“"

图片

第二步:

用WINHEX工具打开E盘,第0扇区为E盘

DBR扇,如图可知:$MFT文件在(00 00 0C 00 00 00 00 00H)

簇,转换为十进制数也就是第786432簇=(786432*8)扇区

=6291456扇区。

此处(08H)

为每簇所占

扇区数

此处的8字节(00

00 0C 00 00 00 00

00H)表示$MFT文

件的起始簇号!

第三步:

定位到6291456扇区,也就是$MFT文件的文件

记录(一般情况都为两个扇区),$MFT记录的前十六个文件

记录都是固定的系统的十六个文件记录,由于我们要找文件

位置,所以就要定位到系统文件$root(根目录文件记录)的

文件记录。$root文件记录固定为第五个文件记录,又因为一

个文件记录占用两个扇区,所以也就是$MFT文件记录后的

第十个扇区,也就是(6291456+10)扇就是$root的文件记录。