← Voltar ao blog

Como recuperar arquivos excluídos no NTFS usando a MFT

· 5 min de leitura

Resposta curta: arquivos excluídos no NTFS normalmente podem ser recuperados até que o slot do registro MFT seja reutilizado e seus clusters de dados sejam sobrescritos. Para arquivos pequenos, o conteúdo frequentemente fica dentro do próprio registro MFT e sobrevive mesmo quando os clusters somem. O fluxo confiável é: parar de usar o volume, imageá-lo, depois ou reproduzir a MFT com um parser forense ou fazer carving no disco procurando assinaturas FILE.

Por que excluir não apaga

Quando o Windows exclui um arquivo de um volume NTFS, três coisas acontecem e uma não:

  1. A flag em uso no registro MFT do arquivo é zerada.
  2. Os clusters que continham os dados do arquivo são marcados como livres em $Bitmap.
  3. A entrada de índice do diretório pai é removida.

O que não acontece: nada de fato sobrescreve o registro ou os clusters. Eles são apenas marcados como disponíveis para a próxima alocação. Até que algo mais os reivindique, o arquivo é recuperável. Veja o que sobrevive quando você exclui um arquivo no NTFS para o detalhe campo a campo.

Passo 1: pare de escrever no volume

Cada gravação que você faz no volume arrisca reutilizar o slot do registro excluído ou seus clusters de dados. Se o arquivo importa:

  • Pare a aplicação que o tocou.
  • Se o arquivo vivia no disco do sistema e o sistema ainda está em execução, o próprio SO está gravando constantemente. Desligue ou inicialize a partir de mídia externa.
  • Para um drive externo, desmonte imediatamente.

Passo 2: faça uma imagem do disco

Trabalhe em uma cópia, nunca no original. As opções padrão:

  • FTK Imager — gratuito, GUI, produz imagens .dd ou .E01. Faz hash da fonte durante a leitura.
  • dd no Linux/macOS — cópia bit a bit. dd if=/dev/sdX of=disk.img bs=4M conv=noerror,sync status=progress.
  • ddrescue — mais lento, mas tolera erros de leitura em drives falhando.

Faça o hash da imagem (SHA-256) imediatamente após a aquisição. Todos os passos seguintes funcionam contra a imagem.

Passo 3: recupere com uma das três abordagens

Reprodução da MFT — analise $MFT (extraia-a da imagem ou leia no lugar) com uma ferramenta que liste registros excluídos. O nome do arquivo excluído, seus carimbos de tempo e (para arquivos pequenos) seus dados são recuperáveis do próprio registro.

  • O MFTECmd lista registros excluídos e marca dados residentes.
  • O parser navegador deste site filtra para entradas excluídas com um clique e permite exportar seus metadados para CSV.

Ferramentas de recuperação cientes do sistema de arquivos — essas leem o sistema de arquivos vivo (ou imagem) e apresentam arquivos excluídos para restauração seletiva:

  • R-Studio — comercial, a escolha do analista para NTFS. Lida com danos complexos.
  • TestDisk + PhotoRec — gratuito, maduro, bom para danos de partição e carving por assinaturas.
  • Recuva — nível consumidor mas serve para recuperações de um único arquivo em um único drive.

Carving por assinaturas — quando a MFT sumiu, scalpel, foremost ou PhotoRec escaneiam a imagem bruta em busca de assinaturas conhecidas de arquivos (JPEG FF D8 FF, PNG 89 50 4E 47, ZIP 50 4B 03 04 e por aí vai) e remontam o que encontram. Arquivos carvados perdem seus nomes de arquivo e carimbos de tempo — esses viviam na MFT — mas os bytes em si voltam.

O que é genuinamente irrecuperável?

  • Clusters sobrescritos. HDDs modernos não oferecem caminho realista para recuperar dados que foram sobrescritos uma vez. A fantasiosa recuperação por "magnetização remanescente" da literatura forense antiga não se aplica a drives fabricados nesta década.
  • Blocos SSD recuperados pelo TRIM. Uma vez que o controlador SSD aplicou TRIM em um bloco, a flash subjacente é zerada durante a garbage collection. O dado se foi, rápido.
  • Volumes criptografados sem a chave. Volumes NTFS criptografados com BitLocker, VeraCrypt ou LUKS são irrecuperáveis sem a chave de recuperação — o texto em claro nunca tocou o disco em primeiro lugar.

Quando a recuperação via MFT é a única opção

Se o arquivo era um pequeno arquivo de texto, uma pequena config JSON ou um pequeno script, os dados provavelmente eram residentes — armazenados inline dentro do registro MFT em vez de em clusters separados. Mesmo que $Bitmap tenha sido sobrescrito dezenas de vezes, os bytes residentes ainda ficam no registro até o slot ser reutilizado. Veja dados residentes.

Para esses arquivos, o parser navegador é frequentemente o caminho mais rápido: solte a $MFT que você exportou, filtre para entradas excluídas, procure registros com $DATA residente e copie os bytes de volta.

Perguntas frequentes

Por quanto tempo arquivos excluídos ficam recuperáveis no NTFS?

Até que o slot da MFT seja reutilizado e os clusters de dados sejam sobrescritos. Em um sistema ativo, isso é horas. Em um sistema ocioso, podem ser meses. Não há temporizador fixo.

Esvaziar a Lixeira torna a recuperação mais difícil?

Não. A Lixeira é só um diretório oculto ($Recycle.Bin) em cada volume. "Esvaziar" exclui os arquivos normalmente — as mesmas técnicas de recuperação se aplicam.

Posso recuperar arquivos excluídos com del /F ou shift+delete?

Sim — esses pulam a Lixeira mas excluem da mesma forma. O registro MFT ainda está lá até ser reutilizado.

Posso recuperar arquivos de um drive NTFS formatado?

A formatação rápida só reescreve o boot sector e uma $MFT nova. A maioria dos clusters de dados antigos está intacta e assim também muitos dos registros MFT anteriores (o NTFS reutiliza o mesmo offset inicial). O carving por assinaturas recupera muita coisa. A formatação completa zera o volume — esses dados se foram.

Artigos relacionados

Recursos externos