Notas forenses
Notas breves sobre internos de NTFS, estructura del MFT y flujos de trabajo forenses digitales.
Probar que un archivo estuvo en un sistema Windows
Cuando un archivo ya no está en disco, el $MFT puede demostrar que sí estuvo — y, sorprendentemente a menudo, qué contenía y cuándo fue tocado por última vez.
$UsnJrnl y $MFT: emparejar journal con la tabla
El $MFT te dice el estado actual de cada archivo en un volumen NTFS. El $UsnJrnl te dice cómo llegó cada uno — juntos reconstruyen una timeline forense.
Master File Table (MFT): la $MFT NTFS explicada
Qué es la Master File Table de NTFS, cómo se estructura un registro, qué atributos almacena y qué hacer cuando $MFT está corrupta.
Cómo el $MFT delata un ataque de ransomware
El ransomware deja una huella reconocible en el $MFT: cambios de extensión, ráfagas de escrituras y originales huérfanos.
Parsers MFT: MFTECmd, omerbenamram/mft y el navegador
Tres parsers MFT serios, qué hace bien cada uno y cuándo usar cada uno: MFTECmd, omerbenamram/mft y una herramienta WebAssembly del lado del navegador.
Cómo recuperar archivos eliminados de NTFS usando la MFT
Paso a paso: cómo funciona la recuperación de archivos eliminados en NTFS, qué herramientas usar y cuándo los datos están realmente perdidos.
Construir una línea de tiempo forense a partir del $MFT
Cada registro MFT lleva ocho timestamps que reconstruyen la actividad de un volumen Windows hora a hora; combinados con $UsnJrnl forman una supertimeline.
Cómo analizar un $MFT NTFS en Python
Tres enfoques probados para analizar una $MFT NTFS en Python — analyzeMFT, libmft y delegar en un parser Rust rápido — con ejemplos de código y benchmarks.
Alternate Data Streams: atributos $DATA ocultos en NTFS
Cualquier archivo NTFS puede llevar varios atributos $DATA. Cada uno es un flujo independiente, invisible para la mayoría de listados de archivos.
Qué es $MFTMirr y cuándo lo usa NTFS
$MFTMirr es la copia de los primeros registros MFT que permite a NTFS recuperarse de una corrupción en la zona de arranque. Qué contiene y cómo lo usa chkdsk.
Cómo extraer $MFT de un sistema Windows en marcha
$MFT está bloqueado mientras Windows funciona. Tres formas fiables de obtener una copia forense limpia: fsutil reserve, FTK Imager y los objetivos de KAPE.
Volume Shadow Copy y $MFT: recuperar MFTs antiguas
Cada snapshot VSS contiene su propia copia congelada de $MFT. Cómo extraerlas y qué te revelan que la MFT viva no puede.
MFT de NTFS vs FAT: qué cambió y por qué importa en forense
Cómo NTFS sustituyó la tabla de asignación FAT por la Master File Table, y qué supone eso para la recuperación de evidencias.
Qué sobrevive cuando eliminas un archivo en NTFS
Eliminar un archivo en NTFS rara vez lo borra. El registro MFT, $STANDARD_INFORMATION, $FILE_NAME y a menudo $DATA quedan esperando a ser reutilizados.
Datos residentes: pequeños archivos que viven dentro del MFT
Los archivos pequeños guardan todo su atributo $DATA directamente en el registro MFT. En forense, esto permite recuperar sin tocar el disco.
Anti-forense NTFS: tácticas de atacantes sobre la MFT
Timestomping, flujos de datos alternativos, borrado y manipulación del USN journal: técnicas anti-forenses comunes en NTFS y los artefactos que dejan.
Los cuatro timestamps del MFT y la huella del timestomping
Cada registro MFT lleva dos conjuntos de cuatro timestamps. Entender por qué divergen es la base del análisis temporal en NTFS.
Anatomía de un registro MFT: firma, cabecera y atributos
Recorrido byte a byte por un registro $MFT NTFS — la firma FILE, la cabecera del registro, el array fixup y el flujo de atributos.