Mft2csv es una herramienta muy utilizada en la investigación forense digital para extraer información de la MFT de un sistema de archivos NTFS en un dispositivo de almacenamiento. La herramienta mft2csv convierte los datos de la MFT en formato CSV (Comma – Separated Values), lo que facilita la visualización y el análisis de la información por parte de los investigadores.
Además, mft2csv proporciona información detallada sobre los atributos de los archivos y directorios, como la fecha de creación, la última fecha de modificación, los permisos de acceso, los nombres de archivo y las rutas de acceso. Esta información puede ser valiosa para identificar archivos sospechosos. A continuación veremos cómo funciona.
¿Cómo funciona mft2csv?
Mft2csv nos permite decirle que busque el CSV del fichero en un disco que está montado. También le podemos pasar una imagen:
Para empezar a trabajar con el archivo que hayamos montado, le decimos dónde queremos que nos guarde la imagen gracias al botón «Set output path»:
Si queremos abrirlo con el timeline explorer, vamos a poner una coma como separadora en el textbox de «Set Separator»:
¿Qué es lo que nos da esta aplicación? La MFT tiene datos residuales, es decir, los ficheros MFT también almacenan información extra, datos acerca del punto en el que está localizado el fichero y el contenido del mismo. No es el contenido como tal, sino que, como sabemos en qué parte del disco está ese fichero, este tipo de programas nos brinda la posibilidad de obtener el fichero cuando les ponemos una imagen.
Además de eso, en la entrada de la MFT se guarda la información residual, así como también se guardan fragmentos del contenido de esos ficheros.
🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴
Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada
👉 Prueba gratis el Bootcamp en Ciberseguridad por una semanaEntonces, con mft2csv, tenemos la opción de que nos saque los datos residuales, tanto del Slack como del Data. Sacaría la información que consiga recuperar la tabla MFT de todos los ficheros:
Esto en mft2csv interesa si en algún momento estamos analizando un fichero malicioso; en este caso, sí habría que retirarlos para después filtrar y obtener el contenido.
Una vez que tengamos configurados todos los campos dentro de nuestra herramienta mft2csv, vamos a clicar en el botón «Start processing» y el programa comienza a ejecutarse:
Gracias a este artículo ya hemos visto en qué consiste la herramienta mft2csv. Si quieres seguir especializándote en áreas de ciberseguridad e informática forense, te interesa nuestro Ciberseguridad Full Stack Bootcamp, la formación de alta intensidad con la que te transformarás en todo un experto en poco tiempo. ¡Entra para solicitar ya más información y cambia tu futuro!
