Introducción

Dirección de Metadatos es un término utilizado en The Sleuth Kit, como término genérico para las direcciones correspondientes a las estructuras de datos específicas para un sistema de archivos, el cual almacenan metadatos de archivos. Cada sistema de archivos tiene un nombre diferente para las estructuras donde se almacenan los metadatos, incluyendo:

• FAT/exFAT: Entrada de directorio
• NTFS: Entrada MFT
• UFS: Inodo
• ExtX: Inodo
• HFS: Registro de Catálogo
• YAFFS2: Fragmento de Encabezado

La dirección de metadatos se puede utilizar en The Sleuth Kit para especificar los archivos a analizar.

Formato

En general a cada estructura de metadatos se le asigna una única dirección numérica. Algunos sistemas de archivos, como FAT, no asignan una dirección a las estructuras, pero The Sleuth Kit las crea.

Algunos sistemas de archivos, como NTFS y HFS, permiten un archivo tenga múltiples nociones de contenido. Los archivos NTFS puede tener múltiples atributos $Data, siendo cada uno básicamente un archivo independiente. Para permitir el usuario acceda hacia cada atributo, se utilizan direcciones de metadatos especiales. Estas direcciones toman la forma de ADDR-TYPE o ADDR-TYPE-ID. ADDR es la dirección de metadatos, TYPE es el tipo de atributo, e ID es la identificación del atributo.

El número de TYPE especifica el tipo de datos almacenados en el atributo (como el contenido del archivo, el contenido del directorio, o los metadatos del archivo). Estos números son específicos del sistema de archivos. El número de identificación permite diferenciar entre diferentes instancias del mismo tipo de atributo. Cada atributo de un archivo tendrá un valor ID único. Tener en consideración algunos archivos NTFS tendrán atributos abarcando varias entradas MFT. En este caso, NTFS no garantiza cada ID de atributo será único, pues NTFS solo garantiza un ID será único para una única entrada MFT. Sin embargo, The Sleuth Kit anula estos valores ID y asigna otros nuevos para cada atributo sea único.

Como ejemplo, aquí está el resultado del comando fls en una imagen NTFS:

$ fls -o 2048 NTFS_Pract_2017.raw 222-144-2

En la imagen existen tres archivos (con direcciones 225, 223 y 224). El valor de tipo 128 en un sistema de archivos NTFS corresponde al atributo $Data.

En general, si requiere The Sleuth Kit elija el atributo de datos predeterminado (o si el sistema de archivos no admite la noción de atributos), se debe proporcionar a TSK solo la dirección de metadatos. Si requiere especificar un atributo y se conoce solo existe uno de ellos, utilizar ADDR-TYPE. Si existen varios atributos del mismo tipo, especificar también el ID. Normalmente la salida del comando istat muestra cuales atributos están definidos para un archivo.

$ istat -o 2048 NTFS_Pract_2017.raw 222-144-2

Fuentes:

http://wiki.sleuthkit.org/index.php?title=Metadata_Address
http://wiki.sleuthkit.org/index.php?title=FAT_Implementation_Notes
http://wiki.sleuthkit.org/index.php?title=NTFS_Implementation_Notes