En este artículo te mostraremos qué son y cómo funcionan las herramientas de análisis de MFT.
Recordemos que el análisis de MFT es una técnica forense digital utilizada para examinar la estructura de archivos y directorios de un sistema de archivos NTFS en un disco duro o dispositivo de almacenamiento similar.
Análisis de MFT: herramientas
Existen diversas herramientas que podemos utilizar para hacer análisis de MFT, entre las que están:
Las dos primeras herramientas de análisis de MFT fueron desarrolladas por Eric Zimmerman, un famoso científico forense.
Las que te recomendamos utilizar son MFTECmd, MFT2csv y MFTMACTIME. Podríamos pensar que al utilizar las 3 herramientas el resultado sería el mismo, pero en realidad no, ya que cada una nos presenta el resultado de una forma diferente.
Los campos que se consiguen analizar y parsear con cada una de estas herramientas de análisis de MFT no son los mismos. La primera herramienta es más rápida en comparación con la tercera y la quinta, pero, al mismo tiempo, estas son más completas.
🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴
Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada
👉 Prueba gratis el Bootcamp en Ciberseguridad por una semanaMFTExplorer está bastante bien, porque lo que nos brinda es una interfaz gráfica, es decir, reconstruye el sistema de archivos gracias a la MFT.
MFTExplorer
Veamos cómo funciona el análisis de MFT con MFTExplorer.
Tenemos un $MFT que previamente habíamos exportado:
Vamos a abrir la herramienta de análisis de MFT y hacemos clic en el menú “File”. Allí seleccionamos la opción que dice “Load MFT”:
Elegimos la MFT que queremos montar y esperamos:
Aunque es una MFT pequeña, esta es una herramienta bastante lenta, ya que posee muchas funcionalidades y nos brinda una interfaz gráfica, por lo tanto tarda mucho más en cargar los diferentes componentes.
Esta es una herramienta que, si bien puede ser útil, puede tornarse compleja debido a la tardanza de su ejecución. Además de eso, parece que consume muchísimos recursos del sistema. Esto sucede porque, a través de la MFT, reconstruye por completo el árbol de directorios con toda su estructura dentro del sistema.
MFTCmd
La forma de utilizar esta herramienta de análisis de MFT es muy sencilla, ya que funciona por comandos. Lo primero que haremos es iniciar el cmd. Luego, escribiremos dentro el siguiente comando: MFTECmd.exe -h
:
Una vez cargue todo, procedemos a escribir: –csv mftcsv.csv –csvf. Nos debería aparecer algo similar a esto:
Ya hemos visto algunas de las herramientas de análisis de MFT. Para seguir formándote y transformarte un gran profesional en áreas de ciberseguridad e informática forense, el Ciberseguridad Full Stack Bootcamp es la formación de alta intensidad perfecta para ti. Con la metodología teórica y práctica y la guía de profesores expertos en el mundillo, te convertirás en un especialista en pocos meses. ¡Solicita ya mismo más información y transforma tu vida!