O espaço não alocado (unallocated space) também denominado espaço livre, é o espaço disponível no disco rígido onde o sistema operacional pode gravar arquivos. Em sistemas DOS/Windows, a exclusão de um arquivo não elimina de imediato seu conteúdo, apenas remove a entrada correspondente na tabela de arquivos, seja ela uma FAT – File Allocate Table ou MFT – Master File Table, e a forma como isso ocorre depende do sistema de arquivos.

Sistemas de arquivos FAT

A imagem a seguir mostra uma entrada de 64 bytes correspondente a um arquivo apagado na FAT (figura 1).

figura 1

Quando um arquivo é apagado de um sistema de arquivos FAT, apenas a entrada deste arquivo na tabela de arquivos raiz tem o seu primeiro símbolo, substituído pelo símbolo ASCII 229 (å) ou HEX 0xE5, conforme pode ser visto na  figura 2, no arquivo de nome foto (5).jpg. Na mesma figura podemos ver mais abaixo destacada em azul, a entrada do arquivo foto (6).jpg, presente no volume, cujo primeiro símbolo ASCII é 065 (A) ou HEX 0x41.

figura 2

Os quatro últimos bytes da entrada, cuja sequência encontra-se destacada em amarelo, invertida na ordem dos bytes (00 01 27 16) e convertida para decimal, nos dá o tamanho do arquivo, 75.542 bytes, conforme vemos na figura 3.

figura 3

Os dois bytes que antecedem a sequência acima, destacados em vermelho, também em ordem invertida (00 D0) e convertida para decimal, nos dá o número do cluster onde se inicia o arquivo (no exemplo igual a 208), conforme a figura 4 a seguir.

figura 4

Sistemas de arquivos NTFS

Nos sistemas de arquivos NTFS, cada entrada na MFT representando um arquivo possui um tamanho de 1024 bytes e o seu tamanho total varia com o tamanho do volume. Estas entradas possuem uma estrutura pré-definida, e contando 23 bytes a partir do off-set 0x00, encontramos o campo Flag, com 2 bytes de comprimento, que armazenam o estado do arquivo/pasta. Se este campo contém o valor “1” o arquivos está em uso, se armazena o valor “0” o arquivo/pasta encontra-se apagado. Nas figuras 5 e 6 abaixo, podemos ver respectivamente as entradas na MFT de dois arquivos, sendo o primeiro em uso, arquivo (13).jpg (destaque em verde), e o segundo apagado, arquivo (2).jpg (destaque em amarelo).

figura 5

figura 6

Quando examinamos um sistema de arquivos no Encase (onde foram produzidas as imagens apresentadas), este nos mostra arquivos íntegros, apagados e ainda dados que podem ser recuperados em áreas denominadas de unallocated clusters (Clusters não alocados). No Encase os unallocated clusters são áreas não alocadas, disponíveis após uma formatação do volume, enquanto que os arquivos apagados estão em espaços não alocados após uma última formatação.

figura 7

Os arquivos foto (5),jpg e  foto (10),jpg encontram-se apagados e nos clusters não alocados podemos visualizar o cabeçalho de um arquivo de imagem jpeg. Este tipo de arquivo é identificado pelos valores do três primeiros bytes, cujos valores em HEX são 0xFF, 0xD8 e 0xFF.

Até a próxima.