FAT (File Allocation Table) und NTFS lösen das gleiche Problem — verfolgen, welche Cluster zu welcher Datei gehören — aber sehr unterschiedlich. Für eine forensische Analystin ist der Unterschied der zwischen „Wir wissen, dass eine Datei existiert hat" und „Wir wissen immer noch fast alles über sie".
Wie FAT funktioniert
FAT führt eine einzige Tabelle, in der jeder Eintrag einen Cluster abbildet auf:
- den nächsten Cluster der Datei
- eine End-of-Chain-Markierung
- den Wert
0für „frei"
Ein separater Verzeichniseintrag verbindet den Dateinamen mit dem ersten Cluster. Um eine Datei zu lesen, läuft man die Kette ab. Beim Löschen setzt FAT alle Cluster-Einträge auf 0 und ersetzt das erste Zeichen des Namens im Verzeichniseintrag durch 0xE5. Der Rest bleibt zurück — aber nur der Rest, denn die Kette selbst ist zerstört: man kann den ersten Cluster und Teile des Namens wiederherstellen, doch die Verbindung zu den Folge-Clustern ist weg.
Genau deshalb tun sich FAT-Recovery-Tools mit fragmentierten Dateien schwer. Sie finden Fragmente; sie können sie nicht wieder zusammensetzen.
Wie NTFS funktioniert
NTFS ersetzt die Belegungstabelle durch die Master File Table — eine einzige Datei, in der jede andere Datei mindestens einen 1024-Byte-Eintrag besitzt, der sie beschreibt. Jeder Eintrag ist ein kleiner Container mit typisierten Attributen: $STANDARD_INFORMATION, $FILE_NAME, $DATA, $INDEX_ROOT und mehr.
Entscheidend: $DATA zeigt nicht auf einen einzelnen ersten Cluster. Es führt eine vollständige Runlist — eine Folge von (Startcluster, Länge)-Paaren, die jedes Fragment der Datei abdeckt. Das Löschen einer Datei bricht diese Liste nicht.
Was sich für die Forensik ändert
- Gelöschte Dateien behalten ihre Runlist, bis der MFT-Slot wiederverwendet wird — selbst stark fragmentierte Dateien lassen sich rekonstruieren.
- Acht Zeitstempel pro Eintrag (vier in SI, vier in FN) liefern Quervergleiche, die FAT nicht bietet.
- Residente Daten kleiner Dateien ermöglichen Wiederherstellung, ohne den Datenbereich überhaupt zu lesen.
- Journale (
$UsnJrnl,$LogFile) liefern eine Audit-Spur, die FAT schlicht nicht aufzeichnet.
Hat man die Wahl zwischen einem FAT-Image und einem NTFS-Image desselben Vorfalls, beantwortet das NTFS-Image fast immer mehr Fragen.
Wo man FAT noch trifft
FAT ist nicht tot. Du findest es weiterhin auf:
- werksformatierten USB-Sticks
- der EFI-Systempartition der meisten Windows-Installationen
- SD-Karten aus Kameras und Embedded-Geräten
Aber für die OS-Partition jeder modernen Windows-Maschine schaust du auf NTFS — und $MFT ist der richtige Startpunkt.