Risposta breve: i file eliminati su NTFS sono di norma recuperabili finché la slot del loro record MFT non viene riutilizzata e i loro cluster di dati non vengono sovrascritti. Per i file piccoli, il contenuto spesso si trova dentro il record MFT stesso e sopravvive anche quando i cluster sono spariti. Il workflow affidabile è: smettere di usare il volume, farne un'immagine, poi rieseguire la MFT con un parser forense o fare carving sul disco cercando le signature FILE.
Perché l'eliminazione non cancella
Quando Windows elimina un file da un volume NTFS, accadono tre cose e una non accade:
- Il flag in-use del record MFT del file viene azzerato.
- I cluster che contenevano i dati del file sono marcati liberi in
$Bitmap. - L'entrata di indice della directory genitore viene rimossa.
Quello che non accade: niente sovrascrive il record o i cluster. Sono semplicemente marcati come disponibili per la prossima allocazione. Finché nient'altro li reclama, il file è recuperabile. Vedi cosa sopravvive quando elimini un file su NTFS per il dettaglio campo per campo.
Passo 1: smettere di scrivere sul volume
Ogni scrittura sul volume rischia di riutilizzare la slot del record eliminato o i suoi cluster di dati. Se il file conta:
- Fermate l'applicazione che lo ha toccato.
- Se il file viveva sul disco di sistema e il sistema è ancora in esecuzione, l'OS scrive continuamente. Spegnete o avviate da supporto esterno.
- Per un disco esterno, smontatelo immediatamente.
Passo 2: imager il disco
Lavorate su una copia, mai sull'originale. Le opzioni standard:
- FTK Imager — gratuito, GUI, produce immagini
.ddo.E01. Calcola l'hash della sorgente durante la lettura. ddsu Linux/macOS — copia bit per bit.dd if=/dev/sdX of=disk.img bs=4M conv=noerror,sync status=progress.ddrescue— più lento, ma tollera gli errori di lettura su dischi in avaria.
Calcolate l'hash dell'immagine (SHA-256) subito dopo l'acquisizione. Ogni passo successivo lavora sull'immagine.
Passo 3: recuperare con uno dei tre approcci
Riesecuzione della MFT — analizzate $MFT (estraetela dall'immagine, o leggetela in posizione) con uno strumento che elenca i record eliminati. Il nome del file eliminato, i timestamp e (per file piccoli) i dati sono recuperabili dal record stesso.
- MFTECmd elenca i record eliminati e marca i dati resident.
- Il parser browser di questo sito filtra le entrate eliminate con un clic e permette di esportarne i metadati in CSV.
Strumenti di recupero consapevoli del file system — leggono il file system attivo (o un'immagine) e presentano i file eliminati per il ripristino selettivo:
- R-Studio — commerciale, la scelta dell'analista per NTFS. Gestisce danni complessi.
- TestDisk + PhotoRec — gratuiti, maturi, ottimi per danni di partizione e carving per signature.
- Recuva — livello consumer ma adeguato per recuperi di un singolo file su un disco.
Carving per signature — quando la MFT è scomparsa, scalpel, foremost o PhotoRec scansionano l'immagine grezza cercando signature di file note (JPEG FF D8 FF, PNG 89 50 4E 47, ZIP 50 4B 03 04 e così via) e ricostruiscono ciò che trovano. I file carvati perdono nomi e timestamp — che vivevano nella MFT — ma i byte stessi tornano.
Cos'è davvero irrecuperabile?
- Cluster sovrascritti. Gli HDD moderni non offrono alcuna via realistica per recuperare dati sovrascritti anche una sola volta. La fantasiosa «magnetizzazione residua» della vecchia letteratura forense non si applica ai dischi prodotti in questo decennio.
- Blocchi SSD recuperati da TRIM. Una volta che un blocco è stato sottoposto a TRIM dal controller dell'SSD, la flash sottostante viene azzerata durante la garbage collection. Il dato è perso, e in fretta.
- Volumi cifrati senza chiave. I volumi NTFS cifrati con BitLocker, VeraCrypt o LUKS sono irrecuperabili senza la chiave di ripristino — il testo in chiaro non ha mai toccato il disco.
Quando il recupero MFT è l'unica opzione
Se il file era un piccolo file di testo, una piccola configurazione JSON o un piccolo script, i dati erano probabilmente resident — memorizzati inline nel record MFT invece che in cluster separati. Anche se $Bitmap è stato sovrascritto decine di volte, i byte resident sono ancora nel record finché la slot non viene riutilizzata. Vedi dati resident.
Per questi file, il parser browser è spesso la strada più rapida: trascinate la $MFT esportata, filtrate le entrate eliminate, cercate i record con $DATA resident e ricopiate i byte.
Domande frequenti
Per quanto tempo i file eliminati restano recuperabili su NTFS?
Finché la slot MFT non viene riutilizzata e i cluster di dati non vengono sovrascritti. Su un sistema attivo si parla di ore. Su un sistema a riposo, può arrivare a mesi. Non c'è un timer fisso.
Svuotare il Cestino rende il recupero più difficile?
No. Il Cestino è solo una cartella nascosta ($Recycle.Bin) su ogni volume. «Svuotarlo» elimina i file normalmente — si applicano le stesse tecniche di recupero.
Posso recuperare file eliminati con del /F o shift+canc?
Sì — saltano il Cestino ma eliminano nello stesso modo. Il record MFT è ancora lì finché non viene riutilizzato.
Posso recuperare file da un disco NTFS formattato?
La formattazione rapida riscrive solo il boot sector e una $MFT nuova. La maggior parte dei vecchi cluster di dati è intatta, e così molti dei vecchi record MFT (NTFS riutilizza lo stesso offset di partenza). Il carving per signature recupera molto. La formattazione completa azzera il volume — quei dati sono persi.