Propiedades de las MFT

Contenido del Bootcamp dirigido por:

Propiedades de las MFT
¿Qué encontrarás en este post?

En este artículo tendremos la oportunidad de hablar de algunas de las propiedades de las MFT.

Recordemos que las MFT, master file table o tablas de datos maestros son una estructura de datos utilizada por el sistema de archivos NTFS (sistema de archivos de nueva tecnología) en los sistemas operativos Windows. La MFT es una base de datos que contiene información sobre todos los archivos y directorios presentes en una partición NTFS.

Las MFT

Cada archivo y directorio en una partición NTFS tiene una entrada correspondiente en la MFT, que contiene información como el nombre del archivo, su tamaño, su ubicación en el disco, la hora y fecha en la que se creó o modificó el archivo, así como los permisos de acceso asociados. La MFT también puede contener información adicional, como datos de seguridad y enlaces a otros archivos.

La MFT es una parte crítica del sistema de archivos NTFS, ya que se utiliza para localizar y acceder a los archivos y directorios en el disco. Sin embargo, la MFT puede fragmentarse con el tiempo, lo que puede afectar al rendimiento del sistema de archivos. En tales casos, se pueden emplear herramientas de desfragmentación de disco para optimizar el uso de la MFT y mejorar el rendimiento del sistema de archivos.

Propiedades de las MFT

Una de las principales propiedades de las MFT y de lo que se almacena en el sistema de archivos NTFS es que este dispone de 8 timestamps o campos de fecha, 4 que se reconocen como $STANDAR_INFORMATION y otros 4 de $FILE_NAME. Nosotros solo vemos en Windows Explorer los del $STANDAR_INFORMATION.

Es decir, cuando vemos:

Propiedades de las MFT
Propiedades de las MFT

En las propiedades de un fichero, las fechas de creado, modificado y último acceso, estas son las fechas de tipo standard information, junto a:

  • Modificado.
  • Accedido.
  • Cambiado (El $MFT ha sido cambiado).
  • Creado (Birtho creación de ficheros).
  • Estos son atributos, como los que hemos visto anteriormente.

🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴

Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada

👉 Prueba gratis el Bootcamp en Ciberseguridad por una semana

Algunas de estas, como el estado de cambiado, no las veríamos. Es decir, la MFT también se guarda cada transacción; cuando editamos un fichero, además de cambiarse la fecha en la que se ha modificado, también se modifica un campo dentro de la columna de $STANDAR_INFORMATION, que es el del cambio de la MFT.

También es importante saber (sobre todo cuando analicemos el resultado) que algunas de las propiedades de las MFT, como las fechas y horas, se guardan en formato GMT.

$STANDARD_INFO ($SI)

Esta es la principal diferencia que hay entre STANDAR_INFO y FILE_NAME:

  • Marca de tiempo recogida por el explorador de Windows, fls, mactiem, timestomp, find y las demás utilidades relacionadas con la visualización de marcas de tiempo.
  • Puede ser modificado por procesos de nivel de usuario, como, por ejemplo, empleando la técnica de Timestomp.

Timestomp

Hay programas que, desde Windows, te cambian la fecha de creación, de modificación y de acceso. Esto quiere decir que, en vez de aparecer las fechas que son (las correctas), aparecen otras fechas designadas previamente.

Propiedades de las MFT:
Propiedades de las MFT: modificación

Cabe aclarar que este tipo de programas solo pueden editar la fecha de standard information.

$FILE_NAME

Para el caso del $FILE_NAME, este solo puede ser modificado por el kernel del sistema.

El kernel del sistema es la parte central del sistema operativo que actúa como intermediario entre el hardware y las aplicaciones de software. Este es responsable de administrar los recursos del sistema.

Es muy importante tener presentes estas fechas, analizar cada uno de estos detalles, porque posteriormente estas fechas son las que nos dirán si un fichero se ha movido, se ha copiado y demás.

¿Cómo aprender más?

Ya hemos visto algunas de las propiedades de las MFT y la diferencia entre el $STANDARD_INFO y el $FILE_NAME. Si quieres seguir formándote y transformarte en un profesional en áreas como la ciberseguridad o la informática forense, accede ya a nuestro Ciberseguridad Full Stack Bootcamp. Con esta formación intensiva e íntegra, puedes convertirte en un especialista en muy pocos meses con la guía constante de profesores expertos en el mundillo. ¡Solicita ya más información y transforma tu vida!

¡CONVOCATORIA ABIERTA!

Ciberseguridad

Full Stack Bootcamp

Clases en Directo | Profesores en Activo | Temario 100% actualizado