← Retour au blog

MFT NTFS vs FAT : ce qui change pour le forensique

· Lecture 3 min

FAT (File Allocation Table) et NTFS résolvent le même problème — savoir quels clusters appartiennent à quel fichier — mais ils y répondent très différemment. Pour un analyste forensique, l'écart entre les deux, c'est l'écart entre « on sait qu'un fichier a existé » et « on sait encore presque tout sur lui ».

Comment fonctionne FAT

FAT tient une seule table dans laquelle chaque entrée mappe un cluster à :

  • le cluster suivant du fichier
  • un marqueur de fin de chaîne
  • la valeur 0 signifiant « libre »

Une entrée de répertoire séparée associe le nom de fichier au premier cluster. Pour lire un fichier, on parcourt la chaîne. Pour le supprimer, FAT remet à 0 toutes les entrées de cluster et remplace le premier caractère du nom dans l'entrée de répertoire par 0xE5. Le reste subsiste — mais uniquement le reste, car la chaîne elle-même est détruite : on peut récupérer le premier cluster et une partie du nom, mais le lien vers les clusters suivants est perdu.

C'est pourquoi les outils de récupération FAT galèrent sur les fichiers fragmentés. Ils trouvent des fragments ; ils ne savent pas les recoller.

Comment fonctionne NTFS

NTFS remplace la table d'allocation par la Master File Table — un fichier unique dans lequel chaque autre fichier possède au moins un enregistrement de 1 024 octets qui le décrit. Chaque enregistrement est un petit conteneur d'attributs typés : $STANDARD_INFORMATION, $FILE_NAME, $DATA, $INDEX_ROOT, etc.

Point crucial : $DATA ne pointe pas vers un seul premier cluster. Il contient un runlist complet — une suite de paires (cluster de départ, longueur) couvrant chaque fragment du fichier. Supprimer un fichier ne brise pas cette liste.

Ce que cela change en forensique

  • Les fichiers supprimés conservent leur runlist jusqu'à ce que l'emplacement MFT soit réutilisé : même un fichier très fragmenté peut être reconstruit.
  • Huit horodatages par enregistrement (quatre dans SI, quatre dans FN) offrent des recoupements que FAT ne permet pas.
  • Les données résidentes des petits fichiers permettent une récupération sans toucher à la zone de données.
  • Les journaux ($UsnJrnl, $LogFile) fournissent une piste d'audit que FAT n'enregistre pas.

Entre une image FAT et une image NTFS du même incident, la NTFS répondra presque toujours à plus de questions.

Où l'on rencontre encore FAT

FAT n'est pas mort. On le voit encore sur :

  • les clés USB formatées en usine ;
  • la partition système EFI de la plupart des installations Windows ;
  • les cartes SD d'appareils photo et de matériel embarqué.

Mais sur le volume système de toute machine Windows moderne, c'est NTFS — et $MFT est le point de départ.

Articles liés

Ressources externes