FAT (File Allocation Table) y NTFS resuelven el mismo problema — saber qué clusters pertenecen a qué archivo — pero lo hacen de formas muy distintas. Para un analista forense, la diferencia entre ambos es la diferencia entre «sabemos que existió un archivo» y «aún sabemos casi todo sobre él».
Cómo funciona FAT
FAT mantiene una sola tabla en la que cada entrada mapea un cluster a:
- el siguiente cluster del archivo
- un marcador de fin de cadena
- el valor
0, que significa «libre»
Una entrada de directorio aparte asocia el nombre de archivo con el primer cluster. Para leer un archivo, se recorre la cadena. Para borrarlo, FAT pone a 0 todas las entradas de cluster y reemplaza el primer carácter del nombre en la entrada de directorio por 0xE5. El resto queda — pero solo el resto, porque la cadena en sí queda destruida: se puede recuperar el primer cluster y parte del nombre, pero el enlace a los clusters posteriores se ha perdido.
Por eso las herramientas de recuperación de FAT sufren con archivos fragmentados. Encuentran fragmentos; no saben reensamblarlos.
Cómo funciona NTFS
NTFS sustituye la tabla de asignación por la Master File Table — un único archivo en el que cada otro archivo tiene al menos un registro de 1024 bytes que lo describe. Cada registro es un pequeño contenedor con atributos tipados: $STANDARD_INFORMATION, $FILE_NAME, $DATA, $INDEX_ROOT, etc.
Lo importante: $DATA no apunta a un único primer cluster. Lleva un runlist completo — una secuencia de pares (cluster inicial, longitud) que cubren cada fragmento del archivo. Borrar un archivo no rompe esa lista.
Qué cambia en forense
- Los archivos borrados conservan su runlist hasta que el slot del MFT se reutilice, así que incluso archivos muy fragmentados se pueden reconstruir.
- Ocho timestamps por registro (cuatro en SI, cuatro en FN) ofrecen contraprueba que FAT no permite.
- Datos residentes para archivos pequeños permiten recuperación sin tocar la zona de datos.
- Diarios (
$UsnJrnl,$LogFile) aportan una traza de auditoría que FAT no registra.
Entre una imagen FAT y una imagen NTFS del mismo incidente, la NTFS casi siempre responderá a más preguntas.
Dónde sigues viendo FAT
FAT no está muerto. Lo seguirás encontrando en:
- pendrives USB formateados de fábrica;
- la partición de sistema EFI de la mayoría de instalaciones de Windows;
- tarjetas SD de cámaras y dispositivos embebidos.
Pero en el volumen del SO de cualquier Windows moderno estás ante NTFS — y $MFT es el lugar por donde empezar.