Respuesta corta: $MFTMirr es un pequeño archivo que contiene un duplicado de los primeros registros MFT — como mínimo los registros 0–3 ($MFT, $MFTMirr, $LogFile, $Volume), típicamente los 16 primeros. NTFS lo usa para arrancar la recuperación cuando la $MFT principal no puede leerse. Si tanto la MFT principal como su espejo son ilegibles, ves «Windows no puede recuperar la master file table» salir de chkdsk.
Por qué existe un espejo
Los primeros registros de la Master File Table son críticos: el registro 0 describe a la propia $MFT, el registro 2 es $LogFile, el registro 3 es $Volume. Si los bytes al inicio de $MFT están dañados, NTFS no puede encontrar ningún otro archivo del volumen — incluido el registro de transacciones que normalmente usaría para recuperarse.
El espejo resuelve esta circularidad. $MFTMirr es un archivo separado en una ubicación física distinta, que contiene un duplicado de esos primeros registros. Cuando el driver monta un volumen, lee el registro 0 desde $MFT; si eso falla, recurre al registro 0 de $MFTMirr y usa el duplicado para relocalizar el resto.
Dónde vive
$MFTMirr es el registro MFT 1. Su atributo $DATA es no residente, con cluster runs que tradicionalmente apuntan al medio del volumen — lo bastante lejos de la propia $MFT para que un fallo localizado (un clúster defectuoso, una escritura interrumpida sobre una región) no pueda tumbarlos a los dos.
Las versiones modernas de NTFS lo colocan en el LCN clusterCount / 2. En un volumen de 500 GB eso sitúa el espejo en torno a la marca de los 250 GB.
Puedes localizarlo desde un sistema vivo:
fsutil file queryextents C:\$MFTMirr
Qué contiene
$MFTMirr almacena copias byte a byte de los primeros registros MFT. La garantía histórica eran los cuatro primeros registros (0–3); las versiones actuales de Windows mantienen un espejo de los dieciséis primeros — el conjunto completo de metadatos NTFS descrito en la referencia de la master file table.
Cada copia es un registro MFT normal, array fixup incluido. Un parser apuntado a $MFTMirr lo recorre exactamente del mismo modo que recorre $MFT.
Cómo lo usa NTFS al montar
En un montaje sano, el driver no toca $MFTMirr. En un montaje dañado:
- Lee el registro 0 de
$MFT. - Si la lectura devuelve un error de I/O o la verificación del fixup falla, lee en su lugar el registro 0 de
$MFTMirr. - Si la copia del registro 0 del espejo es válida, usa sus data runs para localizar
$MFTen disco. - Continúa normalmente.
El espejo no tiene que reemplazar a $MFT — solo tiene que dar información suficiente para encontrarla. Una vez que el driver ha localizado $MFT desde el puntero del espejo, sigue con la tabla viva.
Cómo lo usa chkdsk
chkdsk es más agresivo. Cuando detecta corrupción en los primeros registros de $MFT, cruza cada registro con el espejo. Si ambas copias son válidas y difieren, chkdsk trata al espejo como autoritativo para los primeros registros críticos (la suposición es que los registros vivos se actualizaron más recientemente y se corrompieron en el proceso).
Si $MFT es ilegible y el espejo es ilegible, chkdsk informa Windows no puede recuperar la master file table. CHKDSK abortado. En ese punto la recuperación requiere herramientas offline — típicamente carving por firma FILE a lo largo del volumen crudo — en lugar de la autorreparación interna de NTFS.
Por qué $MFTMirr no es una copia de seguridad completa
Solo replica los archivos de metadatos. Los registros 16 y posteriores — cada archivo y carpeta de usuario — solo existen en $MFT. Si $MFT está dañada más allá del registro 16, el espejo no te ayuda. El espejo basta para montar el volumen; recuperar archivos arbitrarios tras un daño requiere las mismas técnicas que usarías sin él.
Interés forense
$MFTMirr rara vez es el artefacto principal de un caso, pero tiene dos usos:
- Verificación cruzada. Los registros 0–15 del espejo deberían coincidir bit a bit con los registros vivos. Una divergencia sugiere que uno de los dos lados se ha modificado fuera de banda (bug del driver, manipulación deliberada, recuperación parcial).
- Instantánea precorrupción. Si los registros
$MFTvivos se han modificado pero el espejo aún no se ha volcado, el espejo conserva el estado anterior. Esta ventana es corta — NTFS los mantiene sincronizados — pero en un caso de fallo súbito puede ser la única copia limpia que queda.
Preguntas frecuentes
¿Es $MFTMirr lo mismo que una copia de seguridad de toda la MFT?
No. Contiene solo los primeros registros (los archivos de metadatos del sistema). Los archivos de usuario no se replican.
¿Puedo analizar $MFTMirr con las mismas herramientas que $MFT?
Sí. Es estructuralmente idéntico — mismo formato de registro, mismo array fixup, mismos atributos. Suéltalo en el parser navegador o pásalo a MFTECmd.
¿Puedo eliminar o mover $MFTMirr?
No. Como $MFT, está bloqueado mientras Windows se ejecuta. Desactivar el espejo por completo no es una operación soportada; chkdsk rechazaría el volumen.
¿Qué pasa si mi disco no tiene $MFTMirr?
Lo tiene. Cada volumen NTFS tiene uno, creado en el momento del formato. Si $MFTMirr falta o es ilegible, el volumen está gravemente dañado y chkdsk fallará.