FAT (File Allocation Table) e NTFS risolvono lo stesso problema — tenere traccia di quali cluster appartengono a quale file — ma lo fanno in modi molto diversi. Per un analista forense, la differenza tra i due è la differenza tra «sappiamo che un file è esistito» e «sappiamo ancora quasi tutto su di esso».
Come funziona FAT
FAT mantiene una sola tabella in cui ogni voce mappa un cluster a:
- il cluster successivo del file
- un marcatore di fine catena
- il valore
0, ovvero «libero»
Una voce di directory separata associa il nome del file al primo cluster. Per leggere un file si percorre la catena. Per eliminarlo, FAT azzera tutte le voci dei cluster e sostituisce il primo carattere del nome nella voce di directory con 0xE5. Il resto rimane — ma solo il resto, perché la catena stessa è distrutta: si può recuperare il primo cluster e parte del nome, ma il collegamento con i cluster successivi è perso.
Ecco perché gli strumenti di recupero FAT faticano con i file frammentati. Trovano frammenti; non sanno ricomporli.
Come funziona NTFS
NTFS sostituisce la tabella di allocazione con la Master File Table — un unico file in cui ogni altro file ha almeno un record da 1024 byte che lo descrive. Ogni record è un piccolo contenitore con attributi tipizzati: $STANDARD_INFORMATION, $FILE_NAME, $DATA, $INDEX_ROOT e altri.
Punto cruciale: $DATA non punta a un singolo primo cluster. Porta con sé una runlist completa — una sequenza di coppie (cluster iniziale, lunghezza) che coprono ogni frammento del file. Eliminare un file non rompe questa lista.
Cosa cambia in forensica
- I file eliminati conservano la loro runlist finché lo slot MFT non viene riutilizzato: anche file pesantemente frammentati possono essere ricostruiti.
- Otto timestamp per record (quattro in SI, quattro in FN) offrono controlli incrociati che FAT non permette.
- I dati residenti dei file piccoli consentono il recupero senza toccare l'area dati.
- I journal (
$UsnJrnl,$LogFile) forniscono una pista d'audit che FAT non registra.
Dovendo scegliere tra un'immagine FAT e una immagine NTFS dello stesso incidente, quella NTFS risponderà quasi sempre a più domande.
Dove si incontra ancora FAT
FAT non è morto. Lo trovi ancora su:
- chiavette USB formattate in fabbrica;
- la partizione di sistema EFI della maggior parte delle installazioni Windows;
- schede SD di fotocamere e dispositivi embedded.
Ma sul volume del sistema operativo di qualsiasi macchina Windows moderna ti trovi davanti a NTFS — e $MFT è il punto di partenza.