En NTFS, eliminar no es borrar. Cuando se elimina un archivo, el sistema operativo cambia un solo bit en el registro MFT del archivo — la marca en uso en la cabecera del registro — y actualiza el índice del directorio padre. El resto del registro queda exactamente como estaba.
Qué sigue ahí
Un registro MFT eliminado suele conservar:
$STANDARD_INFORMATION— los cuatro timestamps, las banderas y el identificador de seguridad$FILE_NAME— el nombre original, la referencia al directorio padre, los tamaños lógico y físico$DATA— para archivos pequeños, todo el contenido (residente); para los grandes, el runlist apuntando a clusters que quizá aún no se hayan sobrescrito
Puedes listar los archivos eliminados por número de registro y reconstruir casi toda la identidad de un archivo eliminado solo a partir del $MFT.
¿Cuándo desaparece de verdad?
Un registro eliminado persiste hasta que NTFS necesita el hueco para un nuevo archivo. En la siguiente creación, el sistema puede reutilizar el hueco libre más antiguo. En un volumen activo, los registros eliminados se reclaman en horas. En un sistema poco activo, pueden sobrevivir meses.
El propio MFT solo crece; nunca encoge. Esa es la razón por la que es un artefacto forense tan rico.
Cruzar fuentes para tener la imagen completa
$MFT muestra qué registros existen. $UsnJrnl (el journal de números de secuencia de actualización) muestra qué les ha pasado — incluidos los eventos de eliminación que cambiaron la marca «en uso». $LogFile añade aún otra capa de historial transaccional.
Un triaje que recorre los tres puede reconstruir no solo qué se eliminó, sino cuándo y en qué orden. El parser de este sitio lee $MFT. Los otros dos diarios son objetivos excelentes para el siguiente paso.