准备操作

开启中文版：在help中setup
注册成为专家版，把下面六行内容复制到help的注册里，如果不是专家版不能恢复大于200k的内容，也就是说很多图片都搞不了，而且不能单独打开进入MFT文件。

 Name: 99yywAddr: ds@mail.uaAddr: UkraineData: 777ECCCE7F77FE6BF840DFA6CF2441DBData: 6340FB62056E7A0CDF7AE8D1797666F4Cksm: 0C49043D

恢复步骤

F9打开磁盘，找到文件删除前所在的磁盘，在磁盘的根目录找到MFT文件，双击进入。
CTRL+F进入文本查找，要选择Unicode，因为MFT文件名都是UNICODE

找到FILE0，这是一个MFT文件的开头，开头偏移16H的地方的值，00表示已经被删除，01表示未被删除

继续往下找到第一个80

由此开始内容为数据属性的标识。在向后偏移8H的位置， 01代表非常驻，因为MFT大小有限，也就是说数据在其他数据区记录，00代表常驻，文件的数据就这MFT内。如果是01，那么要看偏移30H的地方

是00的情况所以看偏移10H的地方，蓝色圈出的20 02 00 00表示文件的大小，为220H

接着看14H的地方，蓝色高亮出的18 00 00 00，18表示文件的起始位置是偏移量（相对于红色圈出的80）为18H的地方

18H地方，即为数据值为01的标出点位

12.分析出了文件的起始位置和大小，开始通过选块的方法恢复文件。
在蓝色标出的01的位置，右键后点击“选块开始”；然后按组合键ALT+G，输入220，选择相对于“当前位置”，点击确定，然后在鼠标的位置右键后点击“选块结束”；在“选块结束”的位置点击右键，点击“编辑”，然后点击“复制选块-至新文件”，在弹出窗口里，输入文件名，完成恢复。

如果是01，那么要看偏移30H的地方，即蓝色圈出的D9 F1 07，这个便是文件的大小，十六进制大端表示为“7F1D9”。再看偏移40H的地方，即蓝色圈出的42 80 00 BC 50 2B 01，42表示后面的数据中，前两个是族数，这里为80个族（没什么用），后四个是族号的开始位置，十六进制表示为“12B50BC”。
切换到磁盘窗口，选中$MFT，然后按组合键CTRL+G，输入族的起始位置19615932（10进制）

在跳转的地方右键，设置为起始。

上面已经得到文件的大小，按组合键ALT+G，弹出转到偏移量的窗口，选择相对于“当前位置”，跳转到文件的末尾，再设置为“选块结束”。
在已经选择好的选块上右键-编辑-复制选块-到新文件，然后改好后缀名即可。