Parser MFT — analizador $MFT NTFS en el navegador

Un parser MFT que se ejecuta íntegramente en tu navegador. Suelta un archivo $MFT NTFS e inspecciona cada registro — entradas eliminadas, marcas de tiempo $STANDARD_INFORMATION y $FILE_NAME, flujos de datos alternativos, datos residentes — sin enviar un solo byte. WebAssembly bajo el capó y el crate de Rust omerbenamram/mft haciendo el parsing.

Sobre este parser MFT

Un parser MFT lee la Master File Table de NTFS — el fichero $MFT al inicio de cada volumen NTFS — y convierte sus registros de 1 024 bytes en algo que un analista forense puede explotar: nombres de archivos, marcas de tiempo, directorios padre, flujos de datos alternativos, entradas eliminadas y datos residentes. Este sitio es uno de esos parsers. Funciona en tu navegador.

Suelta un fichero $MFT sobre la zona de arriba. El fichero se carga en la memoria del navegador, lo analiza el crate Rust omerbenamram/mft compilado a WebAssembly, y se muestra en una tabla paginada y buscable. Nada se sube — puedes verificarlo desconectando tu red antes de soltar el fichero. Hay exportación a CSV y un informe de triaje disponibles para el análisis posterior.

Qué te muestra

  • Cada registro MFT, asignado o eliminado, con el flag in-use expuesto.
  • Los dos conjuntos de marcas de tiempo — $STANDARD_INFORMATION y $FILE_NAME — para detectar el timestomping de un vistazo.
  • Los flujos de datos alternativos asociados a cada registro, incluyendo Zone.Identifier.
  • Los bytes $DATA residentes de los ficheros pequeños — a menudo la única versión recuperable tras la eliminación.
  • La reconstrucción completa del path siguiendo las referencias padre a través de la tabla.

Cómo se compara con otros parsers MFT

En una estación de análisis Windows, MFTECmd es el CLI estándar y produce el CSV que Timeline Explorer y KAPE esperan. Para scripting en Linux, el CLI y el crate Rust omerbenamram/mft emiten JSON Lines. Este parser de navegador ocupa el tercer hueco: cero instalación, funciona en cualquier sitio donde haya un navegador, adecuado para triaje rápido y para situaciones en las que las pruebas no pueden enviarse a un servicio en la nube. Comparativa completa en el artículo Comparativa de parsers MFT.

Obtener un $MFT para analizar

$MFT está bloqueado mientras Windows está en marcha. Para extraer una copia, usa fsutil en un sistema vivo, FTK Imager contra un disco físico, o el objetivo MFT de KAPE para una recogida de triaje completa. Paso a paso en cómo extraer $MFT de un sistema Windows en ejecución.

FAQ forense

¿Qué es la Master File Table?
La Master File Table ($MFT) es el índice de metadatos de NTFS. Cada archivo y carpeta del volumen tiene al menos un registro de 1024 bytes en $MFT que describe su nombre, atributos, marcas de tiempo y dónde residen sus datos en disco.
¿Qué significa MFT?
MFT significa Master File Table. En disco se escribe $MFT — el signo dólar es la convención NTFS para los archivos de metadatos.
¿Qué atributos de archivo se almacenan en la Master File Table?
Cada registro lleva $STANDARD_INFORMATION (marcas de tiempo, banderas DOS), $FILE_NAME (nombre y un segundo conjunto de marcas de tiempo) y $DATA (el contenido del archivo o sus cluster runs). Los registros también pueden llevar $ATTRIBUTE_LIST, $OBJECT_ID, $SECURITY_DESCRIPTOR, $INDEX_ROOT, $INDEX_ALLOCATION, $BITMAP, $REPARSE_POINT, $EA y $LOGGED_UTILITY_STREAM.
¿Cómo extraigo $MFT de un sistema Windows?
$MFT es el primer archivo de todo volumen NTFS y está bloqueado mientras Windows está en ejecución. Usa una herramienta forense como FTK Imager, KAPE o el comando «fsutil» de Windows para exportar una copia desde un sistema en vivo, o léelo directamente desde una imagen de disco.
¿Cómo reparo una Master File Table corrupta?
Crea primero una imagen del disco. Luego ejecuta chkdsk /f sobre la imagen (rápido, puede descartar registros ilegibles) o usa una herramienta de recuperación que escanee el volumen crudo buscando firmas «FILE» y reconstruya los registros (lento, preserva más evidencia). Nunca ejecutes chkdsk sobre el original antes de crear la imagen.
¿Esta herramienta sube mi $MFT a algún sitio?
No. El análisis ocurre en un Web Worker mediante WebAssembly. El archivo se carga en la memoria del navegador y nunca se transmite. Desconecta la red si quieres comprobarlo.
¿Por qué algunas entradas aparecen como eliminadas?
Cada registro MFT tiene una marca de «en uso». Cuando se elimina un archivo, la marca se borra pero el registro permanece en $MFT hasta que se reutiliza. Estas entradas eliminadas suelen conservar nombres recuperables, marcas de tiempo e incluso datos residentes.
¿Puede procesar archivos $MFT muy grandes?
El análisis se ejecuta en un hilo de Web Worker dedicado. La memoria crece linealmente con el tamaño del archivo. Archivos $MFT de varios gigabytes funcionan en navegadores modernos, aunque la lectura inicial a memoria tarda un instante.