¿Sabes qué es el fichero I30 y cuál es su funcionalidad? NTFS indexa la información de cada directorio. El fichero I30 es un atributo que contiene información sobre los nombres de archivo y directorios que hay almacenados dentro de él. Este atributo también es conocido como $INDX y contiene:
- $INDEX_ROOT
- $INDEX_ALLOCATION
- $BITMAP
Cuando borramos un fichero de un directorio, el atributo I30 simula un slack space y se pueden encontrar evidencias de que existió.
Veamos un poco más a fondo cómo funciona este fichero y por qué es tan importante.
Fichero I30
Dentro de todos los ficheros que existen, está el fichero I30. En cada directorio, NTFS aloja un fichero I30, que guarda la información, un índice, de lo que hay dentro de su propio directorio.
Si, por ejemplo, se borra un fichero, este queda en forma de slack space. El término slack space hace referencia a que el fichero queda en el sistema de manera residual.
Si borramos un fichero de este directorio y parseamos este I30, es decir, si lo analizamos, nos da información acerca de la existencia del fichero. Esto es, nos dice que ese fichero existió ahí.
🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴
Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada
👉 Prueba gratis el Bootcamp en Ciberseguridad por una semanaEsto sirve para recuperar información borrada y para saber qué ficheros estuvieron en qué rutas. se utiliza mucho para saber qué hay en la carpeta de descargas, en la carpeta de documentos y en la carpeta temporal.
Esto nos ayuda mucho a analizar el fichero I30, el index, porque nos dice también qué archivos han sido borrados y si no tenemos que analizar la MFT entera, porque esta es mucho más grande y contiene muchos más registros.
¿Qué podemos obtener una vez analizado el fichero I30?
Después de haber analizado el fichero I30, podemos obtener datos como:
- La fecha de creación del fichero que hay en la carpeta.
- La fecha de modificación del fichero que hay en la carpeta.
- La fecha de acceso del fichero que hay en la carpeta.
- La fecha de cambio de registro MFT que hay en la carpeta.
- El tamaño físico y lógico del fichero.
- El registro MFT del fichero, es decir, el identificador, porque en MFT cada registro tiene un número de entrada consecutivo. En este caso, también nos dice qué identificador y qué entrada es de ese fichero.
- Nunca la fecha de borrado: con el index records o fichero I30 no tenemos fecha de borrado. Esto significa que sabemos que el fichero está borrado, pero no tenemos la fecha exacta en la que ha sucedido.
Herramienta para analizar el fichero I30
La herramienta que podemos usar para hacer un análisis detallado del fichero I30 es indx2Csv.
Este programa lo que hace es analizarnos el index. Entonces, para tomar un index, primero vamos a hacer clic derecho en el fichero I30 y seleccionamos la opción que dice «Export Files».
Una vez hecho esto, vamos a abrir el programa y a clicar en «Browse INDX». Configuramos la manera en la que queremos que cargue, qué tipo de export vamos a usar y el separador que emplearemos (en este caso es una coma), entre otras configuraciones.
Una vez hecho esto, le vamos a dar a «Start Parsing». Debería estar listo en unos cuantos segundos, porque es un archivo pequeño.
Con esto hecho, podemos ver todos los ficheros que han estado dentro de este directorio:
Vemos que tenemos la referencia de la tabla MFT y las fechas de creación, acceso y modificación.
Toda esta información se terminará sobrescribiendo a medida que aumente el tamaño de la carpeta. Es decir, en carpetas con muchos ficheros es probable que perdamos datos; por el contrario, en carpetas con pocos datos es probable que no se requiera hacer esto, porque no necesitamos almacenar más datos en el sistema.
Esta herramienta es especialmente útil para observar qué ficheros se han borrado, porque aunque no se muestre la información de fechas, lo más importante es el inventario de ficheros eliminados.
¿Cómo seguir aprendiendo sobre ciberseguridad?
Ya hemos visto qué es y cómo analizar el fichero I30 con una herramienta que nos ofrece GitHub. Si quieres seguir aprendiendo sobre distintas áreas de la seguridad informática, aquí tenemos la formación intensiva e íntegra ideal para ti. Accede ya a nuestro Ciberseguridad Full Stack Bootcamp y descubre cómo puedes convertirte en todo un profesional IT en pocos meses con el acompañamiento constante de profesores expertos en el mundillo. ¡Solicita ahora mismo más información y da el paso que transformará tu futuro!