Quiero saber quién eliminó un archivo específico de un disco USB.
El disco está formateado como NTFS. El archivo se eliminó mientras el disco estaba conectado a un sistema Windows 7. Sin embargo, si bien poseo el disco USB, ya no tengo acceso a ese sistema.
Utilizando técnicas forenses, con la presunción de que no se escribieron datos sobre el archivo eliminado, ¿puedo determinar quién lo eliminó? ¿Esto cambia, si hubo datos más nuevos escritos en el archivo o si el culpable intentó cubrir sus huellas de alguna manera?