← Volver al blog

Cómo extraer $MFT de un sistema Windows en marcha

· 2 min de lectura

$MFT vive al principio de todo volumen NTFS, pero Windows mantiene un bloqueo exclusivo sobre él mientras el volumen está montado. No puedes copiarlo con un simple xcopy. Necesitas una herramienta que lea el volumen en bruto saltándose el bloqueo del sistema de archivos. Tres opciones fiables.

fsutil (integrado)

Windows incluye un comando para localizar $MFT en disco:

fsutil file queryextents C:\$Mft > mft-extents.txt

Obtienes los cluster runs ocupados por $MFT. Una lectura en bruto de esos clusters reproduce el archivo. Funciona en cualquier Windows moderno, requiere administrador y no produce efectos secundarios sobre el objetivo.

La pega: aún tienes que ensamblar los runs tú mismo. Para la mayoría de investigadores es un ladrillo, no una respuesta final.

FTK Imager

FTK Imager es la herramienta gratuita de referencia para adquisición forense. Para sacar $MFT:

  1. File → Add Evidence Item → Physical Drive
  2. Elegir el disco
  3. Navegar por el árbol hasta la raíz del volumen NTFS y localizar $MFT
  4. Clic derecho → Export Files

Eso produce una copia de $MFT como archivo normal que puedes llevarte. FTK Imager también lee imágenes de disco (.dd, .E01), así que el mismo flujo sirve sobre evidencia offline.

KAPE

Para recolecciones más amplias, KAPE (Kroll Artifact Parser and Extractor) automatiza toda la lista de artefactos. La biblioteca KAPETargets incluye un target MFT que se lleva $MFT, $LogFile, $UsnJrnl y otros artefactos de apoyo en una sola pasada:

kape.exe --tsource C: --target MFT --tdest C:\triage

KAPE resuelve el problema del archivo bloqueado por debajo, conserva los timestamps de los archivos recolectados y deja un directorio ordenado que puedes llevar al análisis. Es el camino recomendado para cualquier recolección de respuesta a incidentes.

Leer desde una imagen de disco

Si ya tienes una imagen de disco, te saltas por completo el problema del bloqueo. Monta la imagen en solo lectura o usa un parser que consuma imágenes en bruto directamente. $MFT vive cerca del comienzo de todo volumen NTFS — el sector de arranque en el offset 0 apunta a él.

Una nota sobre integridad

Sea cual sea la vía elegida, calcula el hash (SHA-256) de $MFT justo después de la adquisición y otra vez antes del análisis. El archivo es grande y a veces las herramientas truncan. Una comparación previa evita horas depurando sobre la evidencia equivocada.

Artículos relacionados

Recursos externos