NTFS格式中一个文件被删除时，其MFT并没有被删除。客户描述有一个重要的文档要恢复，文件名为“个税.XLS”。针对个别文档我们可以手工提取，打开磁盘的分区后找到该分区的 MFT ，如下图：

然后我们通过文件名查找文件的 MFT ，如下图所示：

关于如何将中文文件名转换为十六进制，这里就不再赘述，有兴趣的朋友可以自行研究，查找到的结果如图所示。

先来看看MFT头，偏移0x16-0x17为0表示该文件已经被删除了，系统根据这个标志来决定建立新文件时是否能够覆盖这个MFT而创建自己的MFT。现在要分析0x80属性，即数据属性，在该属性所有的描述中，对恢复数据最有用的信息有两个，一个是偏移0x30-0x37的8个字节的属性是该文件的实际大小，单位是字节。还有一个地方是偏移0x40-0x47开始的数据运行位置描述。由此我们确定了簇流的起始位置和该文件的大小，恢复该文件就简单了。我们到文件的起始位置，如下图：

然后单击确定，即可找到数据的起始位置，如下图：

然后根据文件大小找到数据的结束位置，并将文件命名并保存到指定的路径，到此数据恢复成功。