Entendiendo NTFS
NTFS, el cual es un acrónimo para "New Technology File System" o Sistema de Archivos de Nueva Tecnología, es uno de los más recientes sistemas de archivos soportados por sistemas Windows. Es un sistema de archivos de alto desempeño que se repara a si mismo. Soporta diversas características avanzadas como seguridad a nivel de archivos, compresión, y auditoría.
NTFS proporciona seguridad de datos, pues tiene la capacidad de cifrar y descifrar datos, archivos y carpetas. NTFS utiliza un conjunto de caracteres Unicode de 16 bits para los archivos y carpetas. Es un sistema tolerante a fallos. NTFS puede examinar el archivo de registros (logs) y utilizarlo para restaurar el disco hacia un estado consistente con una mínima perdida de datos.
Los volúmenes NTFS también contienen una “Master File Table” (MFT) o Tabla Maestra de Archivos. La cual contiene un registro para cada archivo y carpeta sobre el volumen. Los primeros 16 bytes de la tabla están reservadas para los metadatos utilizados en implementar y mantener la estructura del sistema de archivos. Este metadato es almacenado en un conjunto de archivos del sistema.
A continuación se detalla la descripción para cada uno de los archivo mostrados.
- $MFT – Este es el archivo de registro base para un volumen NTFS
- $MftMirr – Los primeros cuatro registros del MFT son almacenados aquí para propósitos de restauración.
- $LogFile – Las transacciones previas son listadas y almacenadas para propósitos de restauración.
- $Volumen – Información relacionada al volumen es almacenada en esta tabla.
- $AttrDef – Esta lista contiene los atributos de los archivos.
- $ - Esta es la carpeta Raíz.
- $Bitmap – Esta es una lista que muestra la disponibilidad y uso de los clusters.
- $Boot – Esto es utilizado para montar el volumen NTFS durante el proceso de “bootstrap”.
- $BadClus – Esto contiene una lista de clusters que tienen errores irrecuperables.
- $Secure – Esta lista de control de acceso tiene descriptores de seguridad únicas para los archivos sobre el volumen.
- $Upcase – Esto es utilizado para convertir todos los caracteres en mayúscula a caracteres Unicode minúscula.
- $Extend – Extensiones opcionales como cuotas e identificadores de objetivos son listados aquí.
Sector de Arranque de una partición NTFS
Cuando se formatea un volumen con NTFS, el programa de formato asigna los primeros 16 sectores para el sector de arranque y el código “bootstrap”. “Bootstraping” usualmente se refiere al inicio de un proceso auto sostenible que se supone proceda sin ingresos externos. En computadoras el término se refiere al proceso de cargar el software básico en la memoria de la computadora después de la puesta en funcionamiento o reinicio, especialmente el sistema operativo el cual luego puede cargar otro software necesario.
Tabla de Archivo Maestro (MFT) NTFS
El sistema de archivos NTFS contiene un único archivo llamado Tabla Maestra de Archivos, o (MFT). Los volúmenes NTFS tienen al menos una entrada almacenada en el MFT.
La información relacionada a los atributos como tamaño, marcas de tiempo y fecha, además de permisos son guardados ya sea dentro de entradas MFT o en memoria asignada fuera del MFT que es descrita por entradas MFT. Cuando el número de archivos sobre el volumen NTFS se incrementa, el tamaño del MFT se incrementa. Cuando un archivo es borrado desde un volumen NTFS, los valores en el MFT son marcados como libres y este espacio puede ser reutilizado.
Las utilidades que desfragmentan volúmenes NTFS sobre sistemas Windows no pueden mover entradas MFT, y como la desfragmentación innecesaria del MFT descompone el desempeño del sistema de archivos, NTFS reserva espacio para que el MFT mantenga su desempeño conforme se expanda.
Atributos NTFS
Los atributos de los archivos almacenados dentro del registro MFT son llamados atributos residentes, y aquellos que quedan fuera del MFT son atributos no residentes. Si los atributos de los datos son pequeños en tamaño, entonces pueden ser almacenados dentro del MFT sin necesidad de espacio de almacenamiento adicional sobre el volumen NTFS. Pero si los atributos no entran en el MFT, serán movidos fuera del registro MFT como atributos no residentes.
La siguiente información detalla los tipos de atributos de archivos.
- Standard information (Información Estándar) – Esta lista la información relacionada al dato de marca de tiempo e información de cuenta de enlace.
- Attribute list (Lista de Atributos) – Esta es una lista de atributos que están en el MFT. También tiene un lista de atributos no residentes.
- File name (Nombre de archivo) – El nombre de archivo es almacenado aquí y puede ser un nombre corto o largo. Almacena hasta 255 bytes.
- Security descriptor (Descriptor de Seguridad) – Permisos de acceso y propietario para un archivo son listados aquí.
- Data (Dato) – Los datos de archivo son almacenados aquí, y varios atributos de datos son permitidos para cada archivo.
- Object ID (Identificador de Objeto) – El identificador único que identifica el volumen es listado aquí.
- Logged tool stream (Herramienta de flujo de registros) Este atributo es utilizado por el servicio del sistema de archivos cifrado que es utilizado en Windows 2000 y Windows XP.
- Reparse point (Punto de reinterpretación) – Esta lista los puntos de montaje del volumen para filtros de unidades de sistemas de archivos instalables.
- Index root (Indice Raíz) – Esto es para el uso de carpetas y archivos.
- Index allocation (Indice de Asignación) – Esto es para el uso de carpetas y archivos.
- Bitmap (Mapa de Bits) – Esto es para el uso de carpetas y archivos.
- Volume information (Información del volumen) – Esto es donde el número de versión del volumen es listado.
- Volume name (Nombre del volume) – La etiqueta del volumen es listada aquí.
NTFS también incluye conceptos como Flujos de Datos NTFS (NTFS Data Streams), Archivos Comprimidos NTFS, y Sistema de Archivos NTFS Cifrados.
Fuentes:
http://technet.microsoft.com/en-us/library/cc781134%28WS.10%29.aspx
http://en.wikipedia.org/wiki/Bootstrapping
http://www.forensicswiki.org/wiki/New_Technology_File_System_%28NTFS%29
Sobre el Autor
Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor Independiente en Ciberseguridad
WhatsApp: https://wa.me/51949304030
Correo Electrónico: ReYDeS@gmail.com
Twitter: https://twitter.com/Alonso_ReYDeS
Youtube: https://www.youtube.com/c/AlonsoCaballero
LinkedIn: https://pe.linkedin.com/in/alonsocaballeroquezada/