MFT

Uncategorized

Los comandos para gestionar y reparar la Master File Table (MFT) en Windows se centran principalmente en la integridad del sistema de archivos NTFS mediante chkdsk, la reparación de arranque con bootrec, y herramientas de análisis forense. La MFT es el índice central que registra todos los archivos, por lo que su mantenimiento es vital para evitar corrupción de datos. 

Aquí están los comandos principales:

  • chkdsk /f /r (Unidad:): Es el comando fundamental para reparar la MFT. Escanea el disco, repara estructuras NTFS y recupera información de sectores defectuosos.
  • chkdsk /f /r /x (Unidad:): Similar al anterior, pero añade el forzado de desmontaje del volumen primero, lo que es más efectivo si el sistema está activo.
  • bootrec.exe /fixmbr y /fixboot: Utilizados desde el Entorno de Recuperación (WinRE) para reparar el MFT y el sector de arranque si Windows no inicia debido a una MFT corrupta.
  • dir /s /a: Aunque es para listar archivos, un uso intensivo genera mucha escritura directa en la MFT.
  • testdisk: Una herramienta de terceros muy potente, ejecutable en consola, utilizada para recuperar la MFT a partir de su copia de seguridad (mirror). 

Consideraciones forenses:
Para análisis forense, se pueden extraer y analizar los metadatos de la MFT utilizando herramientas como Velociraptor para investigar los atributos $STANDARD_INFORMATION (timestamps), $FILE_NAME y $DATA

https://learn.microsoft.com/es-es/windows/win32/fileio/master-file-table

El archivo $UsnJrnl (Update Sequence Number Journal) es un componente crítico del sistema de archivos NTFS en Windows que registra cambios (creación, borrado, modificación) en archivos y directorios. Ubicado en $Extend\$UsnJrnl, funciona como un diario de actividad, siendo invaluable para el análisis forense digital y la reconstrucción de la cronología de eventos. 

Características y Análisis Forense del $UsnJrnl

  • Función Principal: Registra de forma continua las operaciones sobre archivos, incluyendo datos como la razón del cambio, la marca de tiempo y la referencia del archivo.
  • Streams de Datos:
    • $J (Data Stream): Contiene los registros reales de las actividades del sistema de archivos.
    • $MAX (Data Stream): Almacena metadatos sobre la configuración y tamaño del diario.
  • Importancia Forense: Permite a los investigadores detectar “time-stomping” (manipulación de marcas de tiempo), identificar actividades maliciosas (ej. ejecución de malware) y reconstruir la actividad del usuario.
  • Herramientas de Análisis: Se utilizan herramientas especializadas como MFTECmdNTFS Journal Viewer o yara para extraer y parsear este archivo bloqueado por el sistema.
  • Ubicación: Se encuentra en $Extend\$UsnJrnl:$J en el volumen NTFS. 

Este diario es un “mina de oro” para entender qué ha sucedido en un sistema, siendo a menudo la única prueba restante de archivos eliminados. 

otra herramienta es por ejemplo FTK imager (que está instalada en

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *