La master file table o MFT, también llamada tabla maestra de archivos, es una tabla de valores numéricos. Cada celda de estos valores describe la asignación de clústeres de una partición. En otras palabras, es el estado (utilizado o no por un archivo) de cada clúster en la partición en la que está ubicado.
Veamos un poco más a fondo el concepto de master file table para entender mejor cómo funcionan los archivos de imagen que analizamos como parte de las evidencias en informática forense.
Master File Table
Registros
La master file table contiene registros de los archivos y directorios de la partición, como son:
- El primer registro, llamado descriptor, contiene información acerca de la MFT.
- El segundo registro contiene una copia del primer registro.
- El tercer registro contiene el archivo de registro. Este es un archivo que contiene todas las acciones llevadas a cabo en la partición.
- Los siguientes registros, que constituyen lo que se conoce como el núcleo, hacen referencia a cada archivo y directorio de la partición en la forma de objetos con atributos asignados.
Propiedades de la master file table
Estas son las propiedades que contiene una MFT:
Como hemos visto, los primeros cuatro registros, correspondientes a los números 0, 1, 2 y 3, son del sistema. El resto también son ficheros del sistema, pero no están relacionados con la master file table.
- El primer fichero contiene la propiedad $mft.
- El segundo contiene un espejo.
- El tercer fichero de la master file table contiene el $LogFile, es decir, los parámetros de transacción.
- Luego tenemos información sobre el fichero de volumen.
Todos estos ficheros son los que vemos aquí:
Se almacenan en la tabla de archivos maestros y ocupan las primeras posiciones, es decir, son ficheros del sistema, ficheros fijos que siempre nos vamos a encontrar cuando analicemos la master file table.
Visualización de una MFT
🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴
Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada
👉 Prueba gratis el Bootcamp en Ciberseguridad por una semanaAquí vemos el ejemplo de una MFT que está en hexadecimal:
Es el equivalente a esto dentro de un fichero MFT:
Para leerlo se requieren programas especiales, como FTK.
¿Cómo aprender más?
Ya hemos visto qué es una master file table. Si quieres seguir aprendiendo para transformarte en un gran experto en áreas de ciberseguridad e informática forense, aquí tenemos la formación intensiva ideal para ti. Accede ya a nuestro Ciberseguridad Full Stack Bootcamp y descubre cómo puedes convertirte en un gran especialista en pocos meses con la guía de profesionales en el mundillo. ¡Solicita ya más información y transforma ahora tu futuro!
