Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Obtención de datos NTFS MFT

    Cargado por

    Miguel Suarez
    35 vistas15 páginas

    Título original

    Informática Forense Clase N° 7

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    35 vistas15 páginas

    Obtención de datos NTFS MFT

    Cargado por

    Miguel Suarez

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 15

    INSTITUTO PROFESIONAL LOS LEONES

    Escuela de Informática, Tecnología y Productividad

    INFORMÁTICA FORENSE
    NIVEL 5
    OBTENCIÓN DE DATOS DE EVIDENCIA
    DIGITAL PARTE 2

    Francisco Salinas C.
    francisco.salinas@docentes.ipleones.cl
    10.05.21
    UNIDAD TEMÁTICA I
    OBTENCIÓN DE DATOS DE EVIDENCIA DIGITAL

    • Introducción

    - Tipos de Particiones.
    - NFTS.
    - $BOOT.
    - BPB (BIOS PAREMETER BLOCK).
    - $MFT.
    - Bibliografía.
    OBTENCIÓN DE DATOS DE EVIDENCIA DIGITAL
    Tipos de Particiones

    Tipos de Particiones
    • Una unidad de almacenamiento puede tener más de una partición disponible,
    cuya cantidad máxima dependerá del tipo de tabla de partición: MBR o GPT.
    • De esta forma cada partición contenida en una unidad de almacenamiento
    necesariamente debe poseer un formato o sistema de archivos, que a su vez va
    a depender del sistema operativo que lo va a requerir.
    • Es así como los diversos sistemas operativos que conocemos trabajan sólo con
    algunos sistemas de archivos, o son compatibles con ciertos tipos de formato.
    • Los sistemas operativos Windows de Microsoft utilizan los formatos FAT16,
    FAT32, exFAT, y NTFS, siendo este último el que en la actualidad se utiliza.
    • Los sistemas operativos Linux utilizan los formatos ext2, ext3 y ext4, siendo
    este último el que en la actualidad se utiliza.
    OBTENCIÓN DE DATOS DE EVIDENCIA DIGITAL
    Tipos de Particiones

    Tipos de Particiones (Continuación)


    • Los sistemas operativos Apple utilizan los formatos FAT, exFAT, UFS, HFS, HFS+,
    APFS y APFS+, siendo este último el que en la actualidad se utiliza.
    • Los sistemas operativos Android utilizan los formatos FAT, exFAT, etx3 y ext4,
    siendo este último el que en la actualidad se utiliza.
    • Los sistemas operativos iOS utilizan los formatos FAT, exFAT, HFS, HFS+ y APFS,
    siendo este último el que en la actualidad se utiliza.
    • Finalmente, existen sistemas operativos propietarios cuyos sistemas de
    archivos no son conocidos, sino que son propietarios, motivo por el cual es
    muy difícil poder acceder al contenido de éstos salvo que sea a través de la
    utilización de herramientas provistos por los mismos. Es el caso de algunos de
    los DVR y NVR chinos.
    OBTENCIÓN DE DATOS DE EVIDENCIA DIGITAL
    NTFS

    NTFS
    • El sistema de archivos NTFS nace con Windows NT 3.1 el año 1993,
    correspondiendo a la versión 1.0.
    • La última versión es la 3.1 la cual nace con la salida de Windows XP el año
    2001, que incluye la redundancia de la $MFT, ideal para la recuperación ante el
    daño de ésta.
    • En los primeros 16 sectores asignados a una partición NTFS se ubica el sector
    de arranque de ésta, representado por $Boot con un tamaño lógico de 8.192
    bytes, el cual es respaldado en el último sector asignado a esta partición (sólo
    512 bytes).
    • La función del $Boot es poder montar el "Volumen" que representa.
    • A continuación se detalle la estructura de $Boot.
    OBTENCIÓN DE DATOS DE EVIDENCIA DIGITAL
    $BOOT

    $BOOT
    • $Boot en los primeros 512 bytes contiene: Los primeros 3 bytes "Jump
    Instruction", los 8 bytes siguientes "OEM ID", los 25 bytes siguientes
    "BPB", los 48 bytes siguientes "Extended BPB", los 426 bytes siguientes
    "Bootstrap Code", finalizando con "End of Sector Marker "55 AA".
    OBTENCIÓN DE DATOS DE EVIDENCIA DIGITAL
    NTFS

    NTFS (Continuación)
    OBTENCIÓN DE DATOS DE EVIDENCIA DIGITAL
    BPB (BIOS PARAMETER BLOCK)

    BPB (BIOS PARAMETER BLOCK)


    • El BPB define información relevante respecto del Volumen contenido, tales
    como: Bytes por Sector, Sectores por Cluster, Tipo de Disco, Sectores Totales,
    Ubicación $MFT, Clusters por Registro de $MFT, y Número Serial del Volumen.
    OBTENCIÓN DE DATOS DE EVIDENCIA DIGITAL
    BPB (BIOS PARAMETER BLOCK)

    BPB (BIOS PARAMETER BLOCK) Continuación


    OBTENCIÓN DE DATOS DE EVIDENCIA DIGITAL
    BPB (BIOS PARAMETER BLOCK)

    BPB (BIOS PARAMETER BLOCK) Continuación


    OBTENCIÓN DE DATOS DE EVIDENCIA DIGITAL
    $MFT

    $MFT
    • Cada archivo y carpeta en un volumen NTFS está representado por un registro,
    el cual está contenido en un archivo especial llamado $MFT (Master File Table).
    • Cuando se formatea un volumen como NTFS se crea un conjunto de archivos
    que contienen información (metadatos) para implementar la estructura del
    sistema de archivos. NTFS se reserva los primeros 16 registros de la $MFT para
    almacenar esos archivos correspondientes a los metadatos.
    • Cada registro de la $MFT ocupa 1024 bytes y no hay una cantidad fija de
    registros, ya que depende del tamaño del volumen y de los archivos contenidos
    en el mismo, con lo cual su tamaño es completamente variable.
    • El primer registro de esta tabla describe la $MFT en sí misma, seguido por un
    segundo registro que aloja a la $MFT Espejo ($MFTMirr).
    OBTENCIÓN DE DATOS DE EVIDENCIA DIGITAL
    $MFT

    $MFT (Continuación)
    • Si el primer registro $MFT está dañado, NTFS lee el segundo registro para
    buscar el archivo $MFTMirr, cuyo primer disco es idéntico al primer registro de
    la $MFT. Las ubicaciones de los segmentos de datos, tanto para la $MFT y
    archivos $MFTMirr se registran en el sector de arranque.
    • El tercer registro de la $MFT es el Archivo de Log ($LogFile Log File Record),
    que se utiliza para la recuperación de archivos.
    • Desde el registro 17 en adelante de la $MFT son utilizados para cada archivo y
    carpeta alojado en el volumen NTFS.
    OBTENCIÓN DE DATOS DE EVIDENCIA DIGITAL
    $MFT

    $MFT (Continuación)
    OBTENCIÓN DE DATOS DE EVIDENCIA DIGITAL
    $MFT

    $MFT (Continuación)
    • La $MFT asigna cierta cantidad de espacio para cada registro del archivo. Los
    atributos de un archivo se graban en el espacio asignado en la $MFT.
    • Archivos pequeños y directorios (normalmente de 1500 bytes o inferiores),
    puede ser enteramente contenido en el registro maestro de tabla de archivos.
    • Este diseño hace que el acceso a los archivos o directorios sea muy rápido, ya
    que no requiere de búsquedas extra en otros sectores del volumen.
    • En cambio directorios grandes se organizan en árboles binarios, que tienen
    registros con punteros a grupos externos que contienen las entradas de
    directorio que no pudieron ser contenidas dentro de la estructura $MFT.
    BIBLIOGRAFIA

    • Introducción a la Informática Forense, Francisco Lázaro Domínguez,


    Editorial RA-MA
    - https://ebookcentral.proquest.com/auth/lib/biblioleonessp/login.action

    Francisco Salinas C.
    francisco.salinas@docentes.ipleones.cl
    10.05.21

    También podría gustarte