¿Qué ocurre cuando formateamos una partición en NTFS?

¿Qué ocurre cuando formateamos una partición en NTFS?

Un volumen formateado en NTFS NO TIENE áreas diferenciadas tal y como lo estudiamos en FAT (recuerda las famosas áreas de FAT1, FAT2, Root Directory, etc..), en su lugar, todo se almacena en FICHEROS.

Por defecto el tamaño del cluster es de 512 bytes, pero esto puede variar, claro…

Distingamos dos “conceptos

LCNs

    • que son los Logical Cluster Numbers (número de sectores lógicos) que son todos aquellos que componen un volumen, el primer cluster lógico es el cluster cero.

VCNs que hace referencia a los datos, esto es, el número de clusters que ocupa un archivo en este sistema y como antes, el primer VCNs es el cero.

NTFS utiliza 64 bits para “numerar” cada cluster y para acceder al contenido de cada fichero utiliza lo que se llama DATA RUN’s, un Data Run es un puntero que indica el inicio del primer VCN’s de un archivo o bien, “el trozo” siguiente.

El tamaño máximo de un archivo en NTFS es de 2^64 bytes, una barbaridad de número… 18.446.744.073.709.551.616 con lo que podríamos decir que ilimitado.

NTFS incorpora además numerosas mejoras y “añadidos” con respecto a FAT, en esta tabla veremos alguna de ellas:

Imagen

Como ves NTFS parece “mas completo” que FAT, incorpora muchas mejoras en el sistema de archivos, en las propiedades de cada fichero (atributos), en el tamaño, etc. eso sin hablar del rendimiento, de la tolerancia a errores o de una mejor asignación del espacio en disco, en todos esos casos podríamos decir que NTFS es mejor que FAT.

No te preocupes ahora si no comprendes bien que son términos como ADS, Sparse File, Reparse Points, etc… ya lo iremos descubriendo…

Pero volvamos a lo nuestro… como ya dijimos TODO en NTFS son ficheros… ficheros que a su vez está compuesto de atributos.

Si tuviésemos que hacer una analogía con las áreas o regiones que usa NTFS tal y como hicimos con FATxx sería mas o menos así:

Imagen

Sin embargo NO TE CONFUNDAS, esas áreas aunque están separadas físicamente (ocupan posiciones físicas diferentes en el disco) no tienen una posición definida como ocurría en FAT, excepto para el Boot Sector que sigue estando en las primeras posiciones del disco, el resto se puede repartir a lo largo y ancho del espacio que dispongamos.

El Boot Sector sigue prácticamente la misma estructura que en FATxx, lo dejaremos para mas adelante, ahora vamos a fijarnos en los archivos que formarán el Sistema NTFS, vamos a seguir la explicación con un ejemplo…

Descargad esta imagen Evidence File de Encase desde:

http://www.megaupload.com/?d=QNRRHIA8

Juan Carlos Osorio

Ingeniero del laboratorio de E--‐Evidence forense informático , Tiene más de 20 años de experiencia en consultoría en investigación. Administra y complejas investigaciones de fraude corporativo que involucran aspectos financieros, Especialista En Seguridad Informática de la Universidad Autónoma del Occidente, certificada como primer respondiente de incidentes informáticos en manejo de Evidencias digitales – Department of states united states of america , Certificado en Auditoría Interna ISO 27001 , Certificado en criminalidad Informática Universidad de los andes , Certificado ENCASE , FTK – Guidance . Certification Wet Stone Technologies, Certification The Investigation of Transnational and Organized Intellectual Property (IP) Crime INTERPOL, Certification HBgary. Certificado Ethical Pentester , Certificado en entrenamiento Evaluación, de seguridad con la implementación de un CSIRI, Certifies Consultation on Computer Forensic Equipment - Department of states united states of america, Docente y Conferencista nacional e internacional etc.

Publicaciones Similares

Colombia subcampeon

Colombia es subcampeón mundial en fraude por Luis Iregui Octubre 19 2010 @ 3:28pm Tema:…

Back To Top