Unter NTFS ist Löschen kein Auslöschen. Wird eine Datei gelöscht, dreht das Betriebssystem ein einziges Bit im MFT-Eintrag der Datei um — das In-Use-Flag im Header des Eintrags — und aktualisiert den Index des übergeordneten Verzeichnisses. Der Rest des Eintrags bleibt genau so, wie er war.
Was noch da ist
Ein gelöschter MFT-Eintrag behält in der Regel:
$STANDARD_INFORMATION— alle vier Zeitstempel, Datei-Flags, Security-ID$FILE_NAME— Originalname, Referenz auf das übergeordnete Verzeichnis, logische und physische Größe$DATA— bei kleinen Dateien den vollständigen Inhalt (resident); bei großen die Runlist auf Cluster, die womöglich noch nicht überschrieben wurden
Du kannst gelöschte Dateien nach Datensatznummer auflisten und den größten Teil der Identität einer gelöschten Datei allein aus der $MFT rekonstruieren.
Wann verschwindet er wirklich?
Ein gelöschter Eintrag bleibt bestehen, bis NTFS den Slot für eine neue Datei braucht. Beim nächsten Datei-Erstellen kann das System den ältesten freien Slot wiederverwenden. Auf einem aktiven Volume sind gelöschte Einträge in Stunden zurückgenommen. Auf einem wenig genutzten System überleben sie Monate.
Die MFT selbst wächst nur; sie schrumpft nie. Genau das macht sie zu einem so reichen forensischen Artefakt.
Querverweise für das vollständige Bild
$MFT zeigt, welche Einträge existieren. $UsnJrnl (das Update Sequence Number Journal) zeigt, was mit ihnen geschah — einschließlich der Löschereignisse, die das In-Use-Flag umlegten. $LogFile fügt eine weitere Ebene an Transaktionshistorie hinzu.
Eine Triage, die alle drei zusammen liest, rekonstruiert oft nicht nur was gelöscht wurde, sondern auch wann und in welcher Reihenfolge. Der Parser auf dieser Seite liest die $MFT. Die anderen beiden Journale sind ausgezeichnete Folgeziele.