Los Básicos De Forense: La Tabla Maestra De Archivos ($MFT)

Muchas veces los examinadores se preguntan ¿cómo recuperar archivos de un disco con sistema de archivo NTFS después de que éste haya sido formateado?.  Porque para ser más concretos  al realizar un formato rápido de los nuevos sistemas operativos Windows 7 o Windows 8, se pueden perder bastantes archivos.


 Como datos básicos, el sistema de archivos NTFS almacena información sobre los archivos escritos en el disco en un archivo de sistema especial denominado  $MFT tabla maestra de archivos, en el que un registro de archivo ocupa 1 KB. Cuando Windows realiza un formato rápido de un disco como un volumen NTFS, crea un archivo $MFT vacío de un tamaño mínimo establecido por defecto: 32 KB en Windows XP, 64 KB en Windows Vista y 256 KB en Windows 7. Si se van a escribir más archivos en el disco y el archivo $MFT existente no es lo suficientemente grande, el sistema aumenta su tamaño y puede fragmentarlo como un archivo normal. En realidad, los archivos $MFT están bastante fragmentados en los discos reales y contienen 3-10 datos que residen en diferentes lugares del disco, es decir, los directorios y los archivos están representados con una entrada especial dentro de éste archivo.



La tabla maestra de archivos es la que contiene todos y cada uno de los archivos que componen un volumen,  es decir, que cuando el sistema operativo consulta el contenido de un archivo, debe dirigirse a la $MFT para obtener información del mismo, como: tamaño, propiedades, atributos, localización, nombres de archivos, eventos que sucede en el sistema, número de cluster, entre otros datos. La $MFT es como una base de datos que almacena todo lo que necesita a la hora de consultar o acceder a un archivo o directorio.

Conociendo lo anterior, es importante a la hora de realizar análisis forense de dispositivos de almacenamiento digital como discos duros, identificar que los directorios y los archivos no están en un área concreta del disco, sino la $MFT puede estar en diferentes zonas del disco, indicando esto que por cada archivo o carpeta crea un registro de 1kbyte, 1024 bytes; bytes que corresponden a  la entrada que tiene una cabecera y los atributos antes mencionados.  A través de EnCase Enterprise se puede recuperar archivos y carpetas NTFS de la tabla maestra de archivos $MFT, realizando procedimientos para buscar archivos sin carpetas raíz. Esta operación es especialmente útil cuando se ha formateado un dispositivo  o la $MFT está dañada. Los archivos recuperados se colocan en la carpeta denominada de recuperados (Recovered Folders) en la raíz de la partición NTFS; cuando se tiene una investigación uno los pasos para encontrar evidencia digital es realizar búsquedas por palabras claves y revisando los resultados muchas veces se encuentran en estas áreas o carpetas recuperadas.

Igualmente la importancia de dicho archivo para el examinador forense es porque allí se puede encontrar fragmentos de evidencia, como por ejemplo archivos que en algún momento estuvieron dentro del disco después de haber sido formateado  y que con procedimientos forenses a través de EnCase se pueden recuperar en el archivo $MFT. Para contextualizar un poco más al buscar por palabra clave en el registro $MFT  se pueden encontrar atributos que incluyen información que localiza los datos de los archivos que alguna vez estuvieron en dicho disco y que aportan información para la investigación que esté llevando un investigador.

RELACIONADOS

Los Básicos De Forense: La Importancia Del Analisis De Firmas 

Lo Basico Del Registro De Cadena De Custodia - Parte 1 

Lo Basico Del Registro De Cadena De Custodia - Parte 2 

Dale Un "Like" a Nuestro Pagina de Facebook en Español Sobre EnCase

No hay comentarios :

Publicar un comentario