NTFS Forense
Técnicas de análisis forense aplicadas al sistema de archivos NTFS (New Technology File System) de Windows, incluyendo recuperación de archivos borrados, análisis de metadatos, y extracción de artefactos ocultos.
¿Qué es NTFS?
NTFS (New Technology File System) es el sistema de archivos estándar de Windows desde Windows NT. Ofrece características avanzadas como journaling, permisos ACL, compresión, y cifrado (EFS), lo que lo hace rico en artefactos forenses.
Sistema de Archivos Dominante
NTFS es el sistema de archivos más analizado en forense digital porque está presente en prácticamente todos los equipos Windows empresariales y domésticos desde hace más de 25 años.
Estructuras Clave de NTFS
Archivos de Metadatos del Sistema
| Archivo | Función | Valor Forense |
|---|---|---|
| $MFT | Master File Table | Metadata de todos los archivos |
| $MFTMirr | Backup del MFT | Recuperación si MFT corrupto |
| $LogFile | Journal de transacciones | Cambios recientes, incluso borrados |
| $Volume | Información del volumen | Nombre, versión NTFS |
| $Bitmap | Mapa de clusters usados | Identificar espacio libre |
| $UsnJrnl | Journal de cambios | Timeline de cambios de archivos |
Master File Table ($MFT)
La MFT es la estructura más importante de NTFS. Contiene un registro por cada archivo y directorio:
Registro MFT (1024 bytes típico):
├── $STANDARD_INFORMATION (0x10)
│ └── Timestamps MACB, permisos
├── $FILE_NAME (0x30)
│ └── Nombre, timestamps MACB adicionales
├── $DATA (0x80)
│ └── Contenido del archivo (o puntero a clusters)
└── Otros atributos...Archivos Pequeños Completos
Los archivos pequeños (típicamente menos de 700 bytes) se almacenan completamente dentro del registro MFT. Esto permite recuperar archivos pequeños incluso si sus clusters de datos fueron sobrescritos.
Timestamps MACB
NTFS almacena 4 timestamps por archivo, duplicados en dos atributos:
$STANDARD_INFORMATION
| Timestamp | Significado |
|---|---|
| M (Modified) | Última modificación del contenido |
| A (Accessed) | Último acceso (lectura) |
| C (Changed) | Último cambio de metadatos MFT |
| B (Birth/Created) | Fecha de creación |
$FILE_NAME
Contiene otro set de timestamps MACB, menos frecuentemente actualizado. Las discrepancias entre ambos sets pueden indicar manipulación (timestomping).
Timestomping
Atacantes pueden modificar los timestamps de $STANDARD_INFORMATION con herramientas como timestomp. Pero los timestamps de $FILE_NAME son más difíciles de alterar, revelando manipulación.
Recuperación de Archivos Borrados
Análisis del $MFT: Buscar registros marcados como “no en uso” que aún contienen metadatos.
Análisis del $LogFile: Transacciones recientes pueden contener datos de archivos borrados.
Análisis del $UsnJrnl: El journal de cambios registra eliminaciones y renombrados.
Carving de espacio no asignado: Buscar firmas de archivos (headers) en clusters libres.
Recuperación de datos residentes: Archivos pequeños pueden estar completos en el MFT.
Por Qué Funciona la Recuperación
Cuando se borra un archivo en NTFS:
- El registro MFT se marca como “disponible” (flag 0x00 en lugar de 0x01)
- Los clusters se marcan como libres en $Bitmap
- Los datos NO se sobrescriben inmediatamente
- Solo cuando se necesita espacio, los clusters se reutilizan
Artefactos Forenses de NTFS
$UsnJrnl (Change Journal)
El Update Sequence Number Journal registra:
- Creación, modificación, eliminación de archivos
- Renombrados y movimientos
- Cambios de atributos
Record:
USN: 12345678
Timestamp: 2026-01-18 10:32:15
Reason: FILE_CREATE
Filename: documento.docx
ParentRef: 0x0000000000000005Alternate Data Streams (ADS)
NTFS permite almacenar múltiples flujos de datos en un archivo:
archivo.txt:datos_ocultosUsos forenses:
- Malware oculta código en ADS
- Zone.Identifier marca archivos descargados de Internet
- Metadatos de aplicaciones
$I30 (Índices de Directorio)
Los índices de directorio pueden contener referencias a archivos borrados que ya no aparecen en el MFT.
Herramientas de Análisis
| Herramienta | Función |
|---|---|
| MFTECmd | Parseo de $MFT a CSV (Eric Zimmerman) |
| Autopsy | Análisis forense completo |
| FTK Imager | Extracción de archivos NTFS |
| The Sleuth Kit | fsstat, fls, icat para NTFS |
| NTFS Log Tracker | Análisis de $LogFile y $UsnJrnl |
| Plaso | Super timeline de artefactos |
Ejemplo con MFTECmd
# Parsear MFT a CSV
MFTECmd.exe -f "C:\$MFT" --csv "C:\output" --csvf mft_parsed.csv
# Incluir archivos borrados
# El output incluye flag "In Use" = FALSE para borradosCaso Práctico: Investigación de Fuga de Datos
Escenario
Un empleado sospechoso de robar documentos confidenciales antes de renunciar.
Análisis NTFS
1. Análisis del $UsnJrnl
2026-01-15 23:45 - FILE_CREATE - "Clientes_2026.xlsx"
2026-01-15 23:46 - FILE_CREATE - "Clientes_2026.zip"
2026-01-15 23:48 - FILE_DELETE - "Clientes_2026.xlsx"
2026-01-15 23:48 - FILE_DELETE - "Clientes_2026.zip"2. Verificación de timestamps
- El documento fue creado (copiado) a las 23:45
- Comprimido en ZIP inmediatamente
- Ambos borrados minutos después
- Hora fuera del horario laboral normal
3. Recuperación
- Registro MFT del ZIP encontrado (marcado como borrado)
- Clusters aún no sobrescritos
- Archivo ZIP recuperado con éxito
- Contenido: listado completo de clientes
4. ADS Zone.Identifier
[ZoneTransfer]
ZoneId=3
HostUrl=about:internetEl archivo fue descargado de algún lugar (red/navegador).
Conclusión del Caso
El empleado copió el archivo de clientes, lo comprimió (probablemente para enviar), y luego borró ambos. El análisis NTFS permitió recuperar la evidencia y reconstruir el timeline exacto.
Poder del Análisis NTFS
Aunque el usuario creyó haber borrado la evidencia, los artefactos NTFS ($UsnJrnl, $MFT, clusters no sobrescritos) permitieron recuperar los archivos y probar la exfiltración.
Limitaciones
| Limitación | Impacto |
|---|---|
| SSD con TRIM | Los datos se borran rápidamente del hardware |
| Cifrado BitLocker | Requiere clave de recuperación |
| Espacio reutilizado | Datos sobrescritos son irrecuperables |
| MFT sobrescrito | Pérdida de metadatos de archivos borrados |
Conclusión
El análisis forense de NTFS es fundamental para cualquier investigación en entornos Windows. La riqueza de metadatos del $MFT, el journaling del $LogFile y $UsnJrnl, y los Alternate Data Streams proporcionan múltiples fuentes de evidencia. Un perito con conocimiento profundo de NTFS puede recuperar archivos borrados, detectar manipulación de timestamps, y reconstruir la actividad del sistema de archivos con precisión temporal.
Última actualización: 18 de enero de 2026 Categoría: Forense Digital Código: NTF-001
Preguntas Frecuentes
¿Se pueden recuperar archivos borrados de NTFS?
Sí, en muchos casos. NTFS marca archivos como borrados pero no sobrescribe los datos inmediatamente. El $MFT y $LogFile pueden contener referencias a archivos eliminados recuperables.
¿Qué es el $MFT en NTFS?
La Master File Table es una base de datos que contiene metadata de todos los archivos del volumen: nombre, timestamps, permisos, ubicación de datos. Es crucial para análisis forense.
¿Qué son los timestamps MACB?
Modified, Accessed, Changed, Birth (created). NTFS almacena 4 timestamps por archivo en el $MFT, permitiendo reconstruir cuándo se creó, modificó, y accedió a cada archivo.
Términos Relacionados
Imagen Forense
Copia exacta bit a bit de un dispositivo de almacenamiento que preserva toda la información original, incluyendo archivos borrados y espacio no asignado, para su análisis forense.
Metadatos
Datos sobre los datos: información adicional embebida en archivos digitales que describe cuándo, dónde, cómo y por quién fueron creados o modificados.
Windows Forense
Conjunto de técnicas y metodologías para el análisis forense de sistemas operativos Windows, incluyendo registro, eventos, artefactos de usuario, y recuperación de evidencia en entornos Microsoft.
¿Necesitas un peritaje forense?
Si necesitas ayuda profesional con análisis forense digital, estoy aquí para ayudarte.
Solicitar Consulta Gratuita