Recuerdo una caricatura muy particular de mi niñez. Un inspector que seguía un maleante (todo de negro) y que le cantaba: “Seguiré tus pasos aunque tú no quieras”.

En un proyector de películas caseras, junto con un clásico de Tom y Jerry donde el famoso gato era un director de una orquesta; mis padres ponían una y otra vez esa caricatura. La verdad, espero un día ir a buscar el proyector y volverla a ver.

Quién diría que muchos años después tuviera algo que ver dicha frase en lo que me dedico. Pero me sirvió de una buena forma para explicar el funcionamiento de una parte de un sistema.

Y es que existe en los sistemas un archivo -imperceptible para el usuario- para aquellos que usan NTFS.

Probablemente sea el archivo más importante de éste sistema de archivos, que permite desde una perspectiva forense encontrar información valiosa sobre el uso del sistema.

Y estoy hablando del MFT (Master File Table), archivo que no hay mejor forma que aprenderlo de Brian Carrier y su libro: File System Forensics Analysis.

Brian es también el creador de la herramienta de Open Source The Sleuth Kit, Autopsy y Mac-Robber, indispensables para aprender de cómputo forense desde la base.

Como comentaba, el MFT, explicado por el mismo Brian Carrier es:

El Master File Table (MFT) contiene entradas que describen todos los archivos de sistema, archivos del usuario y directorios. El MFT incluso contiene una entrada (#0) que se describe a sí misma, por medio de la cual determinamos su tamaño. Otros archivos de sistema en el MFT incluyen el Directorio Raíz (#5), descriptores de seguridad y el journal.

Cada entrada de MFT tiene un número (similar a los inodos en UNIX). Los archivos de usuario y directorios inician en el MFT #25. El MFT contiene toda una lista de atributos.. Por ejemplo “Standard Information” que almacena información como los MAC Times (fecha de creación, acceso y modificación), “File Name” que almacena el nombre del archivo o directorio, $DATA que almacena la información actual del archivo o el “Index Alloc” e “Index Root” que contiene los contenidos del directorio almacenados en un B-Tree.

Cada tipo de atributo tiene un valor numérico y más de una instancia de un tipo puede existir para el archivo.

Como se puede entender en el párrafo anterior, el MFT es una bitácora tan importante para el examinador forense que permite determinar la existencia de ciertos archivos, aunque éstos hayan sido eliminados.

Por ello, es que recuerdo tanto esa caricatura que decía: “Seguiré tus pasos aunque tú no quieras”…. ya que por mas que quieras ocultar algo, el NTFS junto con el MFT podrá delatarte.