很多情况下，读取用户数据很慢，或者驱动器在用户区的开头有损坏的表面，导致无法扩展用户分区或需要很多时间。

但是，如果客户现在需要他的数据，或者我们有驱动器操作的时间限制，因为它会继续损坏磁头/表面，那么如何处理这种情况……

在本文中，我们将讨论这个问题及其可能的解决方案。

比如我们在Data Extractor工具中新建了一个任务，一开始就看到很多问题扇区，DE无法识别NTFS分区。

基本上，如果驱动器没有物理问题并且分区无法打开，我们可以启动快速磁盘分析选项或RAW 恢复程序并找到一个分区。

但是如果驱动器表面有划痕，我们有时间限制，应该快速执行步骤。唯一的方法是尝试手动扩展分区。

在本文中，我们将讨论具有一个 NTFS 分区的驱动器。

如果我们知道驱动器上只有 1 个 NTFS 分区，我们可以尝试通过 RAW 恢复或 GREP 签名来查找NTFS 启动文件。

在用户区的末尾有一个引导副本，它也可用于构建虚拟分区。

但是如果快速磁盘分析失败并且我们没有启动和启动复制（扇区不读取），那么我们可以尝试基于MFT 表扩展分区。

MFT 表（Master File Table）是描述分区中所有用户文件的主文件。

前 16 条记录是系统记录，不可用于操作系统，称为元数据。这前 16 条记录具有固定的 LBA 地址。

因此，首先我们需要在RAW恢复或GREP中找到MFT表的第一条记录。

如果驱动器有阅读问题，那么我们可以使用我们的知识。

对于驱动器上的第一个 NTFS 分区，引导可以是 LBA 63 或 LBA 2048（90% 的情况），正如我们在上面看到的，第一个 MFT 表有一个固定的 LBA 作为第一条记录，因此：

在 LBA 63 处启动 – MFT 表从 6291519 LBA 开始

在 LBA 2048 处启动 – MFT 表从 6293504 LBA (6291519 + (2048 – 63)) 开始

如何确定我们恰好找到了 MFT 表的第一条记录？– 它在$.MFT 正文中的0x0F0 偏移处有一个已知签名：

找到这条记录后，我们可以尝试扩大NTFS分区。让我们添加一个虚拟 NTFS 分区：

这里需要设置几个值：

初始 LBA – NTFS 引导扇区的预期 LBA（63 或 2048）。

最终 LBA – 它是最后一个分区扇区。假设整个用户区只有一个分区，然后设置最后一个扇区值。

集群大小——我们知道按集群驱动写入数据（基本上是 8 个）。

然后我们得到这个窗口：

我们应该填写三个字段“总扇区数，MFT_Mirr_Cluster 和 MFT_Cluster。

扇区总数- 设置最后一个 LBA 值

MFT_Mirr_Cluster – 这是前 4 个 MFT 记录的副本 – 设置任何值（但不是零）

MFT_Cluster – 这是集群中第一个 MFT 记录的值（不是 LBA）。

所以，我们知道第一条 MFT 记录 LBA 是 6293504 减去 2048 Boot LBA 并除以簇大小 8 = 786432 第一条 MFT 记录簇

换句话说：

分区的第一个 MFT 记录簇在 2048 LBA = (6293504 – 2048) / 8

63 LBA 中引导分区的第一个 MFT 记录簇 = (6293504 – 63) / 8

结果我们得到了一个虚拟的 NTFS 分区，可以执行不同的研究程序，如构建 MFT 映射、执行分区分析等。

在当前情况下，我们得到了包含所有文件和文件夹的完整分区结构。

注意：我们已经创建了一个虚拟分区。驱动器上没有写入任何内容。