No NTFS, excluir não é apagar. Quando um arquivo é excluído, o sistema operacional inverte um único bit no registro MFT do arquivo — a flag em uso no cabeçalho do registro — e atualiza o índice do diretório pai. O resto do registro permanece exatamente como estava.
O que ainda está lá
Um registro MFT excluído costuma preservar:
$STANDARD_INFORMATION— os quatro timestamps, flags, identificador de segurança$FILE_NAME— nome original, referência ao diretório pai, tamanhos lógico e físico$DATA— para arquivos pequenos, o conteúdo inteiro (residente); para os grandes, a runlist apontando para clusters que talvez ainda não tenham sido sobrescritos
Você pode listar arquivos excluídos por número de registro e reconstruir quase toda a identidade de um arquivo excluído usando apenas o $MFT.
Quando ele realmente desaparece?
Um registro excluído persiste até o NTFS precisar do slot para um novo arquivo. Na próxima criação, o sistema pode reaproveitar o slot livre mais antigo. Em um volume ativo, registros excluídos somem em horas. Em sistemas pouco usados, podem sobreviver por meses.
O próprio MFT só cresce; nunca encolhe. É exatamente isso que o torna um artefato forense tão rico.
Cruzar fontes para ter o quadro completo
$MFT mostra que registros existem. $UsnJrnl (o Update Sequence Number Journal) mostra o que aconteceu com eles — inclusive os eventos de exclusão que viraram a flag «em uso». $LogFile adiciona ainda outra camada de histórico transacional.
Uma triagem que percorre os três juntos costuma reconstruir não apenas o que foi excluído, mas quando e em que ordem. O parser deste site lê $MFT. Os outros dois journals são excelentes alvos de seguimento.