¿Qué es Master File Table?

Contenido del Bootcamp Dirigido por: | Última modificación: 18 de julio de 2024 | Tiempo de Lectura: 2 minutos

Algunos de nuestros reconocimientos:

Premios KeepCoding

La master file table o MFT, también llamada tabla maestra de archivos, es una tabla de valores numéricos. Cada celda de estos valores describe la asignación de clústeres de una partición. En otras palabras, es el estado (utilizado o no por un archivo) de cada clúster en la partición en la que está ubicado.

Veamos un poco más a fondo el concepto de master file table para entender mejor cómo funcionan los archivos de imagen que analizamos como parte de las evidencias en informática forense.

Master File Table

Registros

La master file table contiene registros de los archivos y directorios de la partición, como son:

  • El primer registro, llamado descriptor, contiene información acerca de la MFT.
  • El segundo registro contiene una copia del primer registro.
  • El tercer registro contiene el archivo de registro. Este es un archivo que contiene todas las acciones llevadas a cabo en la partición.
  • Los siguientes registros, que constituyen lo que se conoce como el núcleo, hacen referencia a cada archivo y directorio de la partición en la forma de objetos con atributos asignados.

Propiedades de la master file table

Estas son las propiedades que contiene una MFT:

Master File Table

Como hemos visto, los primeros cuatro registros, correspondientes a los números 0, 1, 2 y 3, son del sistema. El resto también son ficheros del sistema, pero no están relacionados con la master file table.

  • El primer fichero contiene la propiedad $mft.
  • El segundo contiene un espejo.
  • El tercer fichero de la master file table contiene el $LogFile, es decir, los parámetros de transacción.
  • Luego tenemos información sobre el fichero de volumen.

Todos estos ficheros son los que vemos aquí:

🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴

Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada

👉 Prueba gratis el Bootcamp en Ciberseguridad por una semana

Se almacenan en la tabla de archivos maestros y ocupan las primeras posiciones, es decir, son ficheros del sistema, ficheros fijos que siempre nos vamos a encontrar cuando analicemos la master file table.

Visualización de una MFT

Aquí vemos el ejemplo de una MFT que está en hexadecimal:

Es el equivalente a esto dentro de un fichero MFT:

Para leerlo se requieren programas especiales, como FTK.

Ya hemos visto qué es una master file tableSi quieres seguir aprendiendo para transformarte en un gran experto en áreas de ciberseguridad e informática forense, aquí tenemos la formación intensiva ideal para ti. Accede ya a nuestro Bootcamp Ciberseguridad y descubre cómo puedes convertirte en un gran especialista en pocos meses con la guía de profesionales en el mundillo. ¡Solicita ya más información y transforma ahora tu futuro!

Carlos Cilleruelo

CEO and co-founder of Byron Labs & Coordinador del Bootcamp en Ciberseguridad.

Posts más leídos

¡CONVOCATORIA ABIERTA!

Ciberseguridad

Full Stack Bootcamp

Clases en Directo | Profesores en Activo | Temario 100% actualizado