Notas forenses
Notas breves sobre internos de NTFS, estructura del MFT y flujos de trabajo forenses digitales.
Probar que un archivo existió cuando ya no está en disco
Cuando dir vuelve vacío, $MFT a menudo aún responde. Guía práctica para demostrar la existencia previa de un archivo a partir de los metadatos NTFS, con los matices que aguantan revisión.
$UsnJrnl y $MFT: emparejar journal con la tabla
El $MFT te dice el estado actual de cada archivo en un volumen NTFS. El $UsnJrnl te dice cómo llegó cada uno — juntos reconstruyen una timeline forense.
Master File Table (MFT): la $MFT de NTFS explicada
Qué es la Master File Table de NTFS, cómo se distribuye un registro, qué atributos transporta, qué significan los archivos de sistema del inicio y qué hacer cuando $MFT está corrupta.
Cómo se ve el ransomware en $MFT
Cambios masivos de extensión, ráfagas de escritura, originales eliminados y los patrones que aparecen en la Master File Table durante una corrida de cifrado. Visión práctica del triage.
Parsers de MFT que aguantan de verdad: MFTECmd, omerbenamram/mft y parsing en navegador
Tres parsers de MFT serios comparados por alguien que usa los tres. Cuándo recurrir a MFTECmd, cuándo scriptar con omerbenamram/mft y cuándo el parser en navegador es la respuesta correcta.
Recuperar archivos eliminados de NTFS usando la MFT
Flujo de trabajo práctico de recuperación en NTFS: cuándo los archivos eliminados son recuperables, las herramientas a las que recurrir, los casos en los que los datos están genuinamente perdidos y el truco de los datos residentes.
Construir una línea temporal a partir de $MFT que aguante una revisión
Enfoque práctico para timelining basado en MFT: qué marcas de tiempo emitir, cómo fusionar con USN y logs de eventos, y dónde las super-timelines ingenuas inducen a error.
Parsear $MFT desde Python sin perder el fin de semana
Tres enfoques que funcionan para parsear NTFS $MFT en Python: analyzeMFT para Python puro, libmft para un modelo de objetos tipado, o invocar un parser de Rust cuando importa la velocidad.
Alternate Data Streams: el segundo atributo $DATA que todos olvidan
Los atributos $DATA con nombre acompañan al archivo que puedes ver. Una visión práctica de dónde se esconden los ADS, para qué los usa Windows y por qué la triage por MFT los encuentra cuando la enumeración por archivo no lo hace.
Qué hace realmente $MFTMirr y cuándo lo usa NTFS
$MFTMirr replica los primeros registros de $MFT para que el volumen pueda montarse cuando la cabecera de la tabla principal sea ilegible. Dónde vive, qué contiene y los casos en los que se gana su lugar.
Extraer $MFT de un host Windows en vivo sin romperlo
Tres formas fiables de obtener una $MFT forensemente sólida de un sistema Windows en ejecución, los errores que corrompen la copia en silencio y qué verificar antes de confiar en el archivo.
Volume Shadow Copy y $MFT: recuperar MFTs antiguas
Cada snapshot VSS contiene su propia copia congelada de $MFT. Cómo extraerlas y qué te revelan que la MFT viva no puede.
Por qué NTFS da a la forense mucho más de lo que FAT dio nunca
FAT registra el siguiente cluster. NTFS lo registra todo. Visión práctica de lo que el paso de FAT a la Master File Table realmente cambió para la recuperación de evidencia.
Lo que realmente sobrevive cuando un archivo se elimina en NTFS
La eliminación en NTFS borra un bit y actualiza una entrada de índice. El registro, los atributos y a menudo los datos esperan. Visión práctica de qué es recuperable y por cuánto tiempo.
Datos residentes: archivos pequeños que viven dentro de la MFT
Los archivos pequeños guardan su atributo $DATA completo dentro del registro MFT. El umbral de tamaño, los casos en los que esto salva tu investigación y los límites del truco.
Antiforense NTFS: lo que hacen realmente los atacantes y lo que los delata
Timestomping, payloads en ADS, borrado de USN, garabateos en la MFT. Un catálogo práctico de antiforense NTFS con los artefactos específicos que cada técnica no logra borrar.
Las cuatro marcas de tiempo de la MFT y cómo se manifiesta el timestomping en ellas
Cada registro MFT lleva dos conjuntos de cuatro marcas de tiempo. Por qué divergen, cómo se ve la divergencia bajo manipulación y la pista sub-segundo que pilla a las herramientas perezosas.
Dentro de un registro MFT, byte a byte
Una lectura cercana de un registro FILE de 1.024 bytes: la firma, la cabecera, el array de fixup, el flujo de atributos y los campos que importan cuando lees bytes crudos en un editor hexadecimal.