Herramientas de análisis de MFT

Autor: | Última modificación: 24 de marzo de 2023 | Tiempo de Lectura: 2 minutos
Temas en este post:

Algunos de nuestros reconocimientos:

Premios KeepCoding

En este artículo te mostraremos qué son y cómo funcionan las herramientas de análisis de MFT.

Recordemos que el análisis de MFT es una técnica forense digital utilizada para examinar la estructura de archivos y directorios de un sistema de archivos NTFS en un disco duro o dispositivo de almacenamiento similar.

Análisis de MFT: herramientas

Existen diversas herramientas que podemos utilizar para hacer análisis de MFT, entre las que están:

  1. MFTECmd
  2. MFTExplorer
  3. MFT2csv
  4. MFTF
  5. MFTMACTIME

Las dos primeras herramientas de análisis de MFT fueron desarrolladas por Eric Zimmerman, un famoso científico forense.

Las que te recomendamos utilizar son MFTECmd, MFT2csv y MFTMACTIME. Podríamos pensar que al utilizar las 3 herramientas el resultado sería el mismo, pero en realidad no, ya que cada una nos presenta el resultado de una forma diferente.

Los campos que se consiguen analizar y parsear con cada una de estas herramientas de análisis de MFT no son los mismos. La primera herramienta es más rápida en comparación con la tercera y la quinta, pero, al mismo tiempo, estas son más completas.

MFTExplorer está bastante bien, porque lo que nos brinda es una interfaz gráfica, es decir, reconstruye el sistema de archivos gracias a la MFT.

MFTExplorer

🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴

Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada

👉 Prueba gratis el Bootcamp en Ciberseguridad por una semana

Veamos cómo funciona el análisis de MFT con MFTExplorer.

Tenemos un $MFT que previamente habíamos exportado:

Análisis de MFT

Vamos a abrir la herramienta de análisis de MFT y hacemos clic en el menú «File». Allí seleccionamos la opción que dice «Load MFT»:

Herramientas de análisis de MFT 1

Elegimos la MFT que queremos montar y esperamos:

Herramientas de análisis de MFT 2

Aunque es una MFT pequeña, esta es una herramienta bastante lenta, ya que posee muchas funcionalidades y nos brinda una interfaz gráfica, por lo tanto tarda mucho más en cargar los diferentes componentes.

Esta es una herramienta que, si bien puede ser útil, puede tornarse compleja debido a la tardanza de su ejecución. Además de eso, parece que consume muchísimos recursos del sistema. Esto sucede porque, a través de la MFT, reconstruye por completo el árbol de directorios con toda su estructura dentro del sistema.

MFTCmd

La forma de utilizar esta herramienta de análisis de MFT es muy sencilla, ya que funciona por comandos. Lo primero que haremos es iniciar el cmd. Luego, escribiremos dentro el siguiente comando: MFTECmd.exe -h:

Herramientas de análisis de MFT 3

Una vez cargue todo, procedemos a escribir: –csv mftcsv.csv –csvf. Nos debería aparecer algo similar a esto:

Herramientas de análisis de MFT 4

¿Cómo aprender más?

Ya hemos visto algunas de las herramientas de análisis de MFT. Para seguir formándote y transformarte un gran profesional en áreas de ciberseguridad e informática forense, el Ciberseguridad Full Stack Bootcamp es la formación de alta intensidad perfecta para ti. Con la metodología teórica y práctica y la guía de profesores expertos en el mundillo, te convertirás en un especialista en pocos meses. ¡Solicita ya mismo más información y transforma tu vida!

¡CONVOCATORIA ABIERTA!

Ciberseguridad

Full Stack Bootcamp

Clases en Directo | Profesores en Activo | Temario 100% actualizado