En este artÃculo te enseñaremos un ejemplo de fechas en operaciones sobre ficheros. En este caso trabajaremos sobre los ficheros presentes en la MFT, que son el $STANDARD_INFO o $SI y el $FILE_NAME.
Operaciones sobre ficheros: ejemplos
Ahora vamos a ver cómo cambian las fechas cuando se hacen diferentes operaciones sobre ficheros.
Renombrar un fichero
Si renombramos el fichero «File_Rename.docx» como «File_Renamed.docx», lo que ocurre con los atributos es que solo el $STANDARD_INFO MFT se modifica, ya que habÃamos mencionado que el otro archivo, el $FILE_NAME, solo puede ser modificado por el kernel del sistema:
Mover un fichero al mismo volumen
Ahora bien, si movemos el fichero «Local_Move.docx» en el mismo volumen, de nuevo cambia únicamente el $STANDARD_INFO MTF. Solo se actualiza la fecha de este fichero con los segundos que hayan pasado:
Mover un fichero a otro volumen
En este caso, si movemos un fichero a otro volumen NTFS con el nombre de «Volume_Move.docx», lo que sucede es que cambian ambos ficheros, tanto el FILE_NAME como el STANDARD_INFO:
Copiar en el mismo volumen
Si, dado otro caso, copiamos en el mismo volumen, lo que ocurre es que cambian todos los ficheros, excepto el STANDARD_INFO MFT y STANDARD_INFO:
Abrir el fichero
Si solo abrimos el documento y lo cerramos, no cambia ninguna fecha:
Abrir y modificar el fichero
🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴
Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada
👉 Prueba gratis el Bootcamp en Ciberseguridad por una semanaSi abrimos un fichero y lo modificamos, se modifica un fichero y solo se mantiene la fecha de creación en el $FILE_NAME y en el $STANDARD_INFO. El resto de timestamps se cambian:
Crear un nuevo fichero
Si creamos un nuevo fichero con el botón derecho del ratón, todos los timestamps se cambian:
Eliminar un fichero
Si eliminamos un fichero, los timestamps no cambian:
Reglas de los ficheros
Aquà tienes algunas reglas que siguen los ficheros, es decir, qué atributos cambian en el $FILE_NAME y en el $STANDARD_INFO cuando hacemos cada modificación:
¿Cómo aprender más?
Ya hemos visto algunas operaciones sobre ficheros que podemos realizar por medio de un ejemplo con las fechas. Si quieres seguir formándote para transformarte un gran profesional en áreas de ciberseguridad e informática forense, accede ya a nuestro Ciberseguridad Full Stack Bootcamp y descubre cómo, en pocos meses, puedes convertirte en un especialista con la guÃa de profesores expertos en el mundillo. ¡Solicita ya más información y empieza a transformar tu futuro!
