FAT (File Allocation Table) e NTFS resolvem o mesmo problema — rastrear quais clusters pertencem a qual arquivo — mas o respondem de formas muito diferentes. Para um analista forense, a diferença é a diferença entre «sabemos que um arquivo existiu» e «ainda sabemos quase tudo sobre ele».
Como o FAT funciona
O FAT mantém uma única tabela na qual cada entrada mapeia um cluster para:
- o próximo cluster do arquivo
- um marcador de fim de cadeia
- o valor
0, que significa «livre»
Uma entrada de diretório separada associa o nome do arquivo ao primeiro cluster. Para ler um arquivo, percorre-se a cadeia. Para apagá-lo, o FAT zera todas as entradas de cluster e substitui o primeiro caractere do nome na entrada de diretório por 0xE5. O resto fica — mas somente o resto, porque a cadeia em si é destruída: dá para recuperar o primeiro cluster e parte do nome, mas o vínculo com os clusters seguintes se perdeu.
É por isso que ferramentas de recuperação FAT sofrem com arquivos fragmentados. Encontram fragmentos; não conseguem remontá-los.
Como o NTFS funciona
O NTFS substitui a tabela de alocação pela Master File Table — um único arquivo no qual cada outro arquivo tem pelo menos um registro de 1024 bytes que o descreve. Cada registro é um pequeno contêiner com atributos tipados: $STANDARD_INFORMATION, $FILE_NAME, $DATA, $INDEX_ROOT e mais.
Crucial: $DATA não aponta para um único primeiro cluster. Ele carrega uma runlist completa — uma sequência de pares (cluster inicial, comprimento) cobrindo cada fragmento do arquivo. Excluir um arquivo não rompe essa lista.
O que muda na perícia
- Arquivos excluídos preservam sua runlist até o slot do MFT ser reutilizado, então mesmo arquivos muito fragmentados podem ser reconstruídos.
- Oito timestamps por registro (quatro em SI, quatro em FN) oferecem checagens cruzadas que o FAT não permite.
- Dados residentes em arquivos pequenos permitem recuperação sem tocar na área de dados.
- Journals (
$UsnJrnl,$LogFile) fornecem trilha de auditoria que o FAT não registra.
Entre uma imagem FAT e uma imagem NTFS do mesmo incidente, a NTFS quase sempre responderá a mais perguntas.
Onde você ainda encontra FAT
O FAT não está morto. Você ainda o encontra em:
- pen drives USB formatados de fábrica;
- a partição de sistema EFI da maioria das instalações Windows;
- cartões SD de câmeras e dispositivos embarcados.
Mas no volume do SO de qualquer máquina Windows moderna você está diante do NTFS — e $MFT é o ponto de partida.