首先，照例打开磁盘，看MBR

来到128扇区，在NTFS中这玩意叫做BPB

在BPB中接着记几个数据：
每扇区字节数：0200H：512
每簇扇区数：08H：8
保留扇区数：0000H：0
隐含扇区：00000080H：128
$MFT的逻辑簇号：0000000000040000H：262144

接着来到$MFT：262144*8+128=2097280

然后跳转到MFT的关于根目录的记录，也就是第5号记录（2097280+2*5=2097290扇区）

查看A0属性（索引分配）的数据运行列表：11 01 24 00
只有一个运行：
起始LCN（24H：36簇）
长度（01H：1簇）
计算索引项起始位置：36*8+128=416扇区

然后很幸运地找到了文件夹与文件的索引项

先来分析文件夹索引项
文件记录为000000000027H（39号记录）
一个MFT占用两个扇区，来到2097280+39*2=2097358扇区

查看90属性：
依次为标准属性头，索引根，索引头，索引项，索引项.....
看出里面有两个索引项，即有两个文件

再来分析文件索引项

文件记录为00000000002AH（42号记录）
一个MFT占用两个扇区，来到2097280+42*2=2097364扇区

查看80属性（数据流属性）的数据运行列表：22 A1 00 89 05 00
只有一个运行：
起始LCN（0589H：1417簇）
长度（00A1H：161簇）
计算数据流起始位置：1417*8+128=11464扇区
计算数据流结束位置：1578*8+128-1=12751扇区

然后复制出来这块内容，看一下基本属性

左边复制出来的，右边原文件

然鹅，，，写到这里才发现我的文件根本没有删除
算了算了，结束了