MFT (Master File Table)
¿Qué es MFT (Master File Table)?
MFT (Master File Table)Estructura central de metadatos de NTFS que almacena un registro de 1024 bytes por cada archivo o directorio del volumen y sustenta casi todo el análisis forense del sistema de archivos de Windows.
La Master File Table ($MFT) es el corazón del sistema de archivos NTFS; cada archivo, directorio e incluso la propia MFT se representan mediante un registro de tamaño fijo con atributos como $STANDARD_INFORMATION, $FILE_NAME y $DATA. Los analistas forenses parsean la MFT para recuperar marcas temporales (los cuatro tiempos MACB en $SI y $FN), tamaños, relaciones padre-hijo, flujos de datos alternativos y contenido residente de archivos pequeños. Las entradas eliminadas suelen seguir siendo recuperables hasta que se reutilizan, lo que la convierte en una pieza clave para construir líneas de tiempo y detectar antiforense. Herramientas como MFTECmd, analyzeMFT o Velociraptor extraen y normalizan los registros para el triage.
● Ejemplos
- 01
Recuperar el nombre original y la fecha de creación de un malware eliminado a partir de un registro residente del $MFT.
- 02
Detectar timestomping comparando los timestamps de $STANDARD_INFORMATION y $FILE_NAME dentro de la misma entrada MFT.
● Preguntas frecuentes
¿Qué es MFT (Master File Table)?
Estructura central de metadatos de NTFS que almacena un registro de 1024 bytes por cada archivo o directorio del volumen y sustenta casi todo el análisis forense del sistema de archivos de Windows. Pertenece a la categoría de Forense y respuesta en ciberseguridad.
¿Qué significa MFT (Master File Table)?
Estructura central de metadatos de NTFS que almacena un registro de 1024 bytes por cada archivo o directorio del volumen y sustenta casi todo el análisis forense del sistema de archivos de Windows.
¿Cómo funciona MFT (Master File Table)?
La Master File Table ($MFT) es el corazón del sistema de archivos NTFS; cada archivo, directorio e incluso la propia MFT se representan mediante un registro de tamaño fijo con atributos como $STANDARD_INFORMATION, $FILE_NAME y $DATA. Los analistas forenses parsean la MFT para recuperar marcas temporales (los cuatro tiempos MACB en $SI y $FN), tamaños, relaciones padre-hijo, flujos de datos alternativos y contenido residente de archivos pequeños. Las entradas eliminadas suelen seguir siendo recuperables hasta que se reutilizan, lo que la convierte en una pieza clave para construir líneas de tiempo y detectar antiforense. Herramientas como MFTECmd, analyzeMFT o Velociraptor extraen y normalizan los registros para el triage.
¿Cómo defenderse de MFT (Master File Table)?
Las defensas contra MFT (Master File Table) combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para MFT (Master File Table)?
Nombres alternativos comunes: $MFT, Tabla maestra de archivos.
● Términos relacionados
- forensics-ir№ 001
$UsnJrnl ($J)
Diario de numeros de secuencia de actualizacion (USN) de NTFS que registra cada operacion del sistema de archivos, dando a los forenses una linea de tiempo de alta resolucion de creaciones, modificaciones y borrados.
- forensics-ir№ 1034
Shimcache (AppCompatCache)
Valor del registro de Windows que guarda metadatos de ejecutables para comprobaciones de compatibilidad; usado historicamente como evidencia de ejecucion, con importantes matices de interpretacion.
- forensics-ir№ 043
Amcache.hve
Colmena del registro de Windows que registra metadatos detallados (incluido un SHA-1) de cada ejecutable que ha corrido o estado presente en el sistema, ofreciendo solida evidencia de ejecucion en Windows moderno.
- forensics-ir№ 850
Archivos Prefetch
Archivos .pf de Windows en C:\Windows\Prefetch que registran el arranque de los procesos y aportan una prueba forense solida de que un ejecutable se ejecuto en el sistema.
- forensics-ir№ 766
Orden de volatilidad
Prioridad de adquisicion definida por RFC 3227 que obliga al equipo forense a recoger primero la evidencia mas efimera, antes de que se sobrescriba o se pierda.
● Véase también
- № 1031Shellbags
- № 568Jump Lists
- № 787pagefile.sys
- № 474hiberfil.sys
- № 388EZ Tools de Eric Zimmerman