Hola, secuaces:
Este es otro
trabajo más, de esos que, por una razón o por otra, se ‘atragantan’ por
diversas razones. Lo tenía pendiente, en mi lista ‘ToDo’, a medio completar, desde hace mucho, mucho tiempo. Y es por
esa razón, porque ha transcurrido mucho tiempo, por la que he reiniciado todas
esas pruebas que tenía a medio completar. Porque el entorno de trabajo cambia,
porque los sistemas cambian.
Podría decirse
que este artículo surgió por casualidad, hace muchísimo tiempo… aunque guarda
cierta relación con otro trabajo que retomé, también, hace mucho tiempo, y que
publiqué bajo el título de ‘Un
byte marca la diferencia: MFT Resident File’.
Introducción
Debemos conocer
y comprender cómo se comportan los sistemas que estamos analizando. Existen
multitud de características en ellos. Puede que esas características sean
conocidas o puede que aún estén por ‘descubrir’. O, incluso, puede darse el caso
de que se presenten en unas determinadas versiones y no en otras, como ocurre,
por ejemplo, con el caso del contenido que publiqué en el artículo ‘Windows
y su lado antiforense, (Plug and Play Cleanup y setupapi[.]dev)’.
Puede que algunas de esas características sean recientes o puede que lleven ahí
toda la vida. Algunas de esas características puede que tengan un fuerte
impacto en un análisis forense y otras de esas características puede que no
tengan un impacto serio en ciertos tipos de análisis. Pero eso es algo que no llegaremos a saber si no somos capaces de comprender
cómo funcionan esas características que presentan los sistemas. Es importante
tener un conocimiento profundo de los sistemas, tal y como mencionó Harlan Carvey
en un artículo que publicó el día 8 de mayo de 2019, (Deep
Knowledge, and the Pursuit Thereof).
Existen
ocasiones en las que estamos tan centrados en una tarea que, a pesar de
observar un comportamiento extraño en el entorno de trabajo, no prestamos la atención que se merece
porque, en apariencia, no guarda relación con la tarea que estemos llevando en
ese momento.
Me ha pasado, me
pasa y me pasará. Y, seguramente, te ha pasado, te pasa y te pasará.
Craso error.
La
característica de la que os quiero hablar hoy es la tunelización del sistema de ficheros. Seguramente conozcas esta
característica, o quizás no estés familiarizado con ella. En cualquier caso,
seguro que la has visto en más de una ocasión.
“Es
importante tener un conocimiento profundo de los sistemas, pero es imposible
saberlo todo sobre ellos”.
Así que, Como
muy bien dice Brett Shavers en el artículo que publicó bajo el título de “Don’t
look back. Try to keep up. This is #DFIR”,
“Cuando
buscas una respuesta y la encuentras, la retención de lo que aprendes es mucho
mejor que publicar una pregunta en un foro y esperar que alguien te proporcione
la respuesta.”
La importancia de documentarse
Es vital documentarse antes de comenzar un trabajo.
La tunelización del sistema de archivos es
considerada por algunos analistas como una característica
“algo oscura” de Windows. Esta característica consiste en que, cuando se borra un fichero y se crea otro,
de idéntico nombre y en la misma ruta, el nuevo fichero creado hereda la misma
fecha de creación que el fichero que ha sido eliminado. Esto ocurre si se
lleva a cabo dentro de un determinado
tiempo, (según algunos artículos que
he estado leyendo, ese tiempo puede ser de hasta 15 segundos, por
defecto). Es decir, se tienen que dar unas condiciones específicas para poder observar cómo esta funcionalidad reutiliza algunos metadatos
de otro fichero.
“Si no
conocemos estas características ‘especiales’, podemos caer en la confusión.”
Al desconocer
este tipo de características, caemos en la confusión por no poder dar
respuesta, por no poder explicar, el porqué de esta peculiaridad.
He leído y
estudiado los artículos que he ido encontrando sobre este asunto. ¡Vamos a
hacer un poco de cronología!
Se han escrito
algunos artículos muy interesantes sobre este tema, aunque la documentación original de Microsoft que menciona esta
característica, y que esos otros artículos referencian, ya no se encuentra disponible, (http://support.microsoft.com/?kbid=172190). Igualmente, se referencian
algunos artículos que ya no se encuentran disponibles. (He preguntado a la comunidad Infosec y DFIR, pero nadie parece estar
en posesión del contenido de dicho artículo, dado que nadie me ha llegado a responder).
Así que, ahora mismo, se carece de documentación oficial al respecto. Odio que se pierda documentación oficial.
“La
carencia de documentación, aumenta la confusión.”
Por suerte, Dan O'Day tuvo
a bien guardar parte del contenido de algunos de esos artículos ‘perdidos’, en su repositorio
de GitHub.
Según parece, este
artículo de Microsoft mencionaba que, tanto los sistemas de archivos NTFS, como
los sistemas de archivos FAT, tienen esta peculiaridad para crear
túneles. Cito, textualmente, el contenido relativo a la tunelización
del sistema de archivos que Dan copió en su repositorio y que ha sido
mencionado, también, por otros artículos:
“Los
productos de Microsoft Windows que se enumeran al principio de este artículo
contienen capacidades de tunelización de sistemas de archivos para permitir la
compatibilidad con programas que dependen de que los sistemas de archivos sean
capaces de mantener la meta-información de archivos durante un corto período
de tiempo.”
“Cuando
se elimina un archivo de un directorio, (renombrar o eliminar), su par de
nombres corto/largo y la hora de creación se guardan en una caché, junto con el
nombre que se ha eliminado. Cuando se añade un archivo a un directorio,
(renombrar o crear), se busca en la caché para ver si hay información que
restaurar. La caché es efectiva para cada instancia de un determinado
directorio. Si se elimina un directorio, se elimina la caché correspondiente.”
“La
idea es imitar el comportamiento que los programas MS-DOS esperan cuando
utilizan el método de almacenamiento seguro. Copian los datos modificados a un
archivo temporal, borran el original y renombran el temporal al original. Este
debería parecer el archivo original cuando esté completo. Windows realiza
túneles en los sistemas de archivos FAT y NTFS para garantizar que los nombres
de archivos largos/cortos se conserven cuando las aplicaciones de 16 bits
realicen esta operación de almacenamiento seguro.”
“El
tiempo de caché del túnel se puede ajustar desde el tiempo predeterminado
de 15 segundos, o si las capacidades del túnel no son deseables, se puede
desactivar añadiendo un valor en el Registro de Windows.”
“Si se
desactiva la tunelización, las aplicaciones que utilizan este método de
almacenamiento seguro pueden perder el nombre que desconocen, normalmente la
LFN, y el redescubrimiento de los objetivos de acceso directo podría verse
afectado, ya que las marcas de tiempo de creación no pueden permanecer
constantes para los archivos manipulados por dichas aplicaciones. El
mantenimiento de la marca de tiempo de creación es posible en ausencia de
tunelización si una aplicación es lo suficientemente inteligente. Lo mismo no
es cierto para los nombres de archivo largos.”
"…permiten
la compatibilidad con programas que dependen de que los sistemas de archivos
puedan mantener la meta-información de archivos durante un corto período de
tiempo. Esto ocurre después de borrar o renombrar y volver a crear una nueva
entrada de directorio con esa meta-información, (si se produce una creación o
renombramiento que haga que un archivo con ese nombre aparezca de nuevo en un breve
período de tiempo).".
……….
Los metadatos del sistema de archivos siempre se
almacenan en caché, tal y como puedes leer en este artículo
del sitio oficial de Microsoft.
En este otro
artículo de Microsoft, que data del 15 de julio de 2005, (The apocryphal
history of file system tunnelling), que ya menciona la creación
de túneles en los sistemas de ficheros, se explica el porqué de la tunelización,
haciendo mención a que esta característica
ya se implementó en Windows 95.
No puedo evitar
emocionarme… ¡Cuánta nostalgia..! ¡Windows 95..!
Este artículo
también menciona que, después de
eliminar un fichero con un nombre de archivo largo, el fichero que se genere
después, dentro de un determinado tiempo, con mismo nombre e idéntica
ubicación, heredará, además de la fecha de creación, el mismo nombre
de archivo corto que el fichero eliminado.
La última
oración de ese artículo me ha llamado muchísimo la atención:
“Los
fragmentos de información sobre archivos recientemente borrados o renombrados
se guardan en estructuras de datos llamadas ‘quarks’”.
Es decir que,
según este artículo de Microsoft, durante
el efecto de tunelización se guarda parte de la información del fichero
afectado, temporalmente.
Buscando
información al respecto me encontré con un artículo publicado el día 22 de
agosto de 2007, (Windows
Date Created Timestamp strangeness), que dice que Windows almacena en caché la marca de
tiempo del archivo eliminado durante algún tiempo, y que ese tiempo puede
llegar hasta los 8 minutos.
El día 11 de abril
de 2010, Harlan ya comenzó a publicar material relacionado con esta
funcionalidad de tunelizado de sistemas de archivos. Como bien menciona Harlan
en ese artículo, bajo circunstancias normales, las marcas de tiempo, (mediante
las líneas de tiempo), ya entrañan
cierta dificultad en su análisis. Si a esa dificultad se le añaden más
elementos que, quizás, se desconozcan… ‘¡Apaga y vámonos!’
Se menciona en
otro artículo, publicado el día 7 de febrero de 2012, (File
System Tunneling in Windows), que la tunelización tiene relación
con el hecho de que algunos programas
que utilizan el método de almacenamiento seguro copian los datos modificados a
un archivo temporal antes de eliminar el archivo original y renombran el
archivo temporal con el nombre del archivo original.
La tunelización del sistema de ficheros puede ser
deshabilitada y también se le puede asignar un tiempo determinado, dado en
segundos. El primer artículo que he visto que
menciona esto, además del extracto de la documentación oficial que guardó Dan, es
uno que se publicó el día 24 de febrero de 2014, (Microsoft
Windows File System Tunneling). Este artículo dice que estas dos
operaciones se pueden llevar a cabo añadiendo un par de claves en el Registro
de Windows:
Para deshabilitar la tunelización del
sistema de archivos bastaría con añadir la clave
“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem\MaximumTunnelEntries”
Y asignar a esa
clave un valor de ‘0’.
Para modificar el tiempo de la tunelización
bastaría con añadir la clave
“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem\MaximumTunnelEntryAgeInSeconds”
Y asignar a esa
clave un valor establecido en segundos.
Harlan también
publicó otro artículo muy interesante sobre este tema, con interesantes pruebas,
el día 22 de julio de 2014, (File
system ops, effects on MFT records). Según las pruebas que
expuso, llegó a la conclusión de que, durante
la tunelización del sistema de ficheros, el registro del archivo original, en
la MFT, se marca como ‘eliminado’ y que se asigna un nuevo registro al nuevo
archivo creado durante esa tunelización. También pudo ver que $UsnJrnl contiene entradas que muestran que
se ha producido una tunelización del sistema de archivos.
El día 2 de
agosto de 2013, Blazer
Catzen publicó en el Blog de David Cowen una buena
presentación sobre este tema, que puedes descargar
desde su sitio de Google.
No he vuelto a
encontrar material que llame especialmente mi atención hasta que Hideaki Ihara
publicó, en primer lugar, un artículo el día 12 de octubre de 2018, (File System
Tunneling and E:\), donde efectúa unas pruebas de tunelización sobre
un dispositivo USB. Hideaki publicó otro artículo, el día 19 de octubre de
2018, (File System
Tunneling and C:\), efectuando esas mismas pruebas sobre un disco
local.
Por último, más
recientemente he encontrado otro artículo interesante, publicado el día 13 de
abril de 2019, (File
System Tunneling in Windows), que está muy bien explicado, con
interesantes pruebas, y que enlaza a un documento PDF muy interesante, que
puedes descargar
desde el sitio oficial de Microsoft. Este documento, que lleva por
título “File System Behavior in the
Microsoft Windows Environment”, menciona, entre otras cosas, que los
sistemas de archivos FAT, NTFS y exFAT soportan la tunelización de ficheros,
mientras que el sistema de archivos UDF no soporta la tunelización de ficheros.
Y hasta aquí ha
llegado la documentación que he seguido al objeto de estudiar y comprender la
tunelización. Pero… Aún con todo lo que se ha escrito, tengo algunas dudas. Dudas
que voy a intentar despejar por mí mismo.
El
entorno de pruebas
Para la realización de las pruebas que
he llevado a cabo, he optado por utilizar un sistema Windows 10, en su versión
18363, y un sistema Windows 10,
en su versión 17763. Ambos sistemas
han sido virtualizados con VirtualBox, asignando 8 GB de
memoria RAM y 4 procesadores a cada uno de ellos.
Puedes descargar máquinas virtuales de
Microsoft Windows para entornos virtualizados desde su sitio oficial en los
siguientes enlaces:
·
https://developer.microsoft.com/en-us/microsoft-edge/tools/vms/
·
https://developer.microsoft.com/es-es/windows/downloads/virtual-machines/
En cada uno de los sistemas Windows 10
virtualizados llevé a cabo una serie de acciones. Más concretamente, puedo
decir que dividí las pruebas en las siguientes cinco acciones para cada
sistema:
·
CCDR
- Crear un fichero ‘A’ en una carpeta; crear un fichero ‘B’, en la misma
carpeta; eliminar el fichero ‘A’; y renombrar el fichero ‘B’ como ‘A’.
·
CCRR
- Crear un fichero ‘A’ en una carpeta; crear un fichero ‘B’, en la misma
carpeta; renombrar el fichero ‘A’ como ‘C’; y renombrar el fichero ‘B’ como
‘A’.
·
CDC
- Crear un fichero ‘A’ en una carpeta; eliminar el fichero ‘A’; y volver a
crear un fichero ‘A’, en la misma carpeta
·
CMC
- Crear un fichero ‘A’ en una carpeta; mover el fichero ‘A’ a otra carpeta; y
volver a crear un fichero ‘A’, en la misma carpeta.
·
CRC
- Crear un fichero ‘A’ en una carpeta; renombrar el fichero ‘A’ como ‘B’; y
crear un fichero ‘A’, en la misma carpeta.
El significado de las abreviaturas es:
·
C
= Crear
·
D
= Eliminar
·
R
= Renombrar
·
M
= Mover
A su vez, cada una de estas acciones ha
sido llevada a cabo bajo una serie de condiciones, combinadas entre sí:
·
Un tiempo de espera de 1400 milisegundos.
·
Un tiempo de espera de 1500 milisegundos.
·
Un tiempo de espera de 1600 milisegundos.
·
Nombres
de fichero largo.
·
Nombres
de fichero corto.
·
Tamaño de fichero de 512 bytes.
·
Tamaño de fichero de 4096 bytes.
A su vez, igualmente, todas estas
pruebas han sido ejecutadas:
·
En un sistema con una configuración por defecto.
·
En un sistema con la tunelización deshabilitada.
·
En un sistema con un valor de tunelización determinado.
·
En un sistema con un valor máximo de tunelización.
·
En un sistema con la creación de nombres cortos deshabilitada.
·
En un sistema con la actualización de marcas de tiempo
deshabilitada.
Esto, son sólo algunas posibles
combinaciones que he llevado a cabo, pero hay más. Aun así, puedes calcular el
total de ejecuciones que he llevado a cabo, en ambos sistemas, y hacerte una
idea del tiempo invertido en todas estas pruebas, y su posterior análisis. Puedes estar tranquilo, porque no expondré
todos los resultados que he obtenido en las pruebas. Sólo me ceñiré a aquellos
que creo de interés. Eso sí, que no falte un buen café ;)
Cada una de las acciones, descritas
anteriormente, ha sido automatizada mediante un pequeño script en PowerShell,
con la siguiente estructura.
Durante la ejecución de cada una de
estos scripts he procedido a la extracción de los ficheros ‘$MFT’ y ‘$LogFile’, con
la herramienta OSForensics, en
su versión portable, (Puedes usar cualquier otra, como FTK
Imager Lite). La extracción de estos ficheros se ha llevado a cabo
justo después de la creación del primer fichero y justo después de finalizar la
ejecución del script. Es decir, se han extraído los dos elementos en dos
ocasiones, por cada ejecución, al objeto de comparar la información del antes y el después.
Del mismo modo, he dejado transcurrir un
total de 300 segundos, justo después de la preparación de los ficheros para su
efecto túnel. 300 segundos es tiempo más que suficiente para la extracción de
los elementos necesarios, para su posterior análisis, y para efectuar algunas
capturas de pantalla con la herramienta Active@ Disk Editor,
al objeto de estudiar los distintos atributos y metadatos de cada uno de los
ficheros tratados.
En lo referente al procesamiento de los
ficheros ‘$MFT’ y ‘$LogFile’ que han sido extraídos, he optado por utilizar las
herramientas FTE
y MFTECmd
para el análisis de la ‘$MFT’, (por aquello de contrastar datos y demás cosas
raras que me gusta hacer), y la herramienta LogFileParser para
el análisis del ‘$LogFile’.
Una
versión corta…
¡¡Gracias,
estadísticas!! He podido comprobar, gracias a las
estadísticas, que no pasarás más de dos minutos leyendo cualquiera de mis
artículos. Por esa razón voy a exponer ahora, y no al final, como suelo hacer,
un breve resumen del trabajo desarrollado.
La tunelización del sistema de archivos
se hará visible, según mis pruebas,
si las acciones se llevan a cabo dentro de un tiempo de 15000 milisegundos, en
un sistema que presente una configuración por defecto. Todo ello,
independientemente del tamaño del fichero y del tipo de nombre del fichero, con
una única excepción.
La tunelización se genera cuando:
·
Se crea un fichero ‘A’
en la carpeta ‘X’, se crea un fichero ‘B’ en la carpeta ‘X’, se elimina el
fichero ‘A’ y se renombra el fichero ‘B’ como ‘A’.
·
Se crea un fichero ‘A’
en la carpeta ‘X’, se crea un fichero ‘B’ en la carpeta ‘X’, se renombra el
fichero ‘A’ como ‘C’ y se renombra el fichero ‘B’ como ‘A’.
·
Se crea un fichero ‘A’
en la carpeta ‘X’, se elimina el fichero ‘A’, se crea otro fichero ‘A’ en la
carpeta ‘X’.
·
Se crea un fichero ‘A’
en la carpeta ‘X’, se mueve el fichero ‘A’ a la carpeta ‘Z’ y se crea otro
fichero ‘A’ en la carpeta ‘X’.
·
Se crea un fichero ‘A’
en la carpeta ‘X’, se renombra el fichero ‘A’ como ‘B’ y se crea otro fichero
‘A’ en la carpeta ‘X’.
De los casos mencionados anteriormente,
la única excepción por la que no se generará el efecto túnel es en el caso de
combinar un nombre largo de fichero con su equivalente de nombre corto.
Si se deshabilita la tunelización del
sistema de archivos, no se producirá bajo ninguna condición, salvo la propia
acción de sobrescribir un fichero.
Se puede personalizar el tiempo de
tunelización del sistema de archivos, hasta un máximo, determinado en segundos.
El tiempo máximo que admite la
tunelización del sistema de archivos es de 71000 milisegundos.
Deshabilitando la creación de nombres de
archivo cortos, (8.3), también se deshabilita la tunelización del sistema de
archivos, puesto que la tunelización se basa en esos tipo de nombres.
Deshabilitar la actualización de las
marcas de tiempo no afecta al efecto túnel. Es decir, que, aunque se
deshabilite esta función, se sigue generando.
No en todos los casos se asigna una
nueva entrada en la MFT para el fichero que causa el efecto túnel. De hecho, en
aquellas acciones que impliquen la eliminación del fichero ‘A’, se reutiliza la
entrada en la MFT, para el fichero ‘B’. Esto, se ha visto al deshabilitar la
tunelización del sistema de archivos, al deshabilitar la creación de nombres
cortos, (8.3), y en el caso de la sobrescritura de ficheros.
No siempre encontraremos, cuando se
genera un efecto túnel, una discordancia en las fechas de creación de los
atributos ‘SI’ y ‘FN’. De hecho, habrá ocasiones en las que debamos basar el
estudio en base a las discordancias de fechas que se encuentren dentro del
atributo ‘SI’.
La respuesta a la explicación de un
efecto túnel se hallará en el análisis del fichero ‘$LogFile’.
Pruebas
en un sistema configurado por defecto
CCDR
Crear
un fichero ‘A’ en una carpeta; crear un fichero ‘B’, en la misma carpeta;
eliminar el fichero ‘A’; y renombrar el fichero ‘B’ como ‘A’
·
Crear
un fichero ‘A’, de 512 bytes, con nombre largo
·
Crear
un fichero ‘B’, de 512 bytes, con nombre largo
·
Eliminar
el fichero ‘A’
·
Establecer
un tiempo de espera de 14000 milisegundos
·
Renombrar
el fichero ‘B’ a ‘A’
En esta prueba, tal y como
puedes ver en la anterior imagen animada, se creó en el sistema un fichero con
el nombre largo ‘512-14-LFN01’ en la
carpeta ‘Test’, el día 29-05-2020 a las 16:12:45. A este
fichero se le asignó la entrada número 93994
en la MFT. Tras esperar 10 segundos, se creó un segundo fichero con el nombre
largo ‘512-14-LFN02’, en la misma
carpeta, a las 16:12:55. A este segundo
fichero se le asignó la entrada número 93996
en la MFT.
Después de esperar 300
segundos, se eliminó el fichero con el nombre ‘512-14-LFN01’ y, tras una espera de 14000 milisegundos, se
renombró el fichero ‘512-14-LFN02’ a
‘512-14-LFN01’.
Tal y como puedes comprobar
en los extractos de las tablas anteriores, el fichero ‘512-14-LFN01’, que ocupaba la entrada número 93994 en la MFT, ha sido eliminado y, el fichero ‘512-14-LFN02’, que ocupa la entrada 93996 en la MFT, ahora ha pasado a
denominarse ‘512-14-LFN01’.
En lo referente a las marcas
de tiempo, el fichero renombrado fue creado el día 29-05-2020 a las 16:12:55, (en color verde). Sin embargo, tal y como
puedes comprobar, al renombrarlo con el mismo nombre de fichero que el
eliminado, adquiere la fecha de creación de ese fichero eliminado, a las 16:12:45, (en color rojo), presentando, en las
demás marcas de tiempo, la fecha original de creación del fichero. Esto indica
que, en este caso, con un tiempo de
espera de 14000 milisegundos, se ha generado un efecto túnel.
Crear
un fichero ‘A’ en una carpeta; crear un fichero ‘B’, en la misma carpeta;
eliminar el fichero ‘A’; y renombrar el fichero ‘B’ como ‘A’
·
Crear
un fichero ‘A’, de 512 bytes, con nombre largo
·
Crear
un fichero ‘B’, de 512 bytes, con nombre largo
·
Eliminar
el fichero ‘A’
·
Establecer
un tiempo de espera de 15000 milisegundos
·
Renombrar
el fichero ‘B’ a ‘A’
En esta prueba, tal y como
puedes ver en la anterior imagen animada, se creó en el sistema un fichero con
el nombre largo ‘512-15-LFN01’ en la
carpeta ‘Test’, el día 01-06-2020 a las 10:23:22. A este
fichero se le asignó la entrada número 93893
en la MFT. Tras esperar 10 segundos, se creó un segundo fichero con el nombre
largo ‘512-15-LFN02’, en la misma
carpeta, a las 10:23:32. A este
segundo fichero se le asignó la entrada número 94000 en la MFT.
Después de esperar 300
segundos, se eliminó el fichero con el nombre ‘512-15-LFN01’ y, tras una espera de 15000 milisegundos, se
renombró el fichero ‘512-15-LFN02’ a ‘512-15-LFN01’.
Tal y como puedes comprobar
en los extractos de las tablas anteriores, el fichero ‘512-15-LFN01’, que ocupaba la entrada número 93893 en la MFT, ha sido eliminado y, el fichero ‘512-15-LFN02’, que ocupa la entrada 94000 en la MFT, ahora ha pasado a
denominarse ‘512-15-LFN01’.
En lo referente a las marcas
de tiempo, en ambos casos se muestran las fechas originales para cada uno de
los dos ficheros, por lo que, con un
tiempo de espera de 15000 milisegundos, no se ha generado un efecto túnel.
Crear
un fichero ‘A’ en una carpeta; crear un fichero ‘B’, en la misma carpeta;
eliminar el fichero ‘A’; y renombrar el fichero ‘B’ como ‘A’
·
Crear
un fichero ‘A’, de 512 bytes, con nombre largo
·
Crear
un fichero ‘B’, de 512 bytes, con nombre corto
·
Eliminar
el fichero ‘A’
·
Establecer
un tiempo de espera de 14000 milisegundos
·
Renombrar
el fichero ‘B’ a ‘A’
En esta prueba, tal y como
puedes ver en la anterior imagen animada, se creó en el sistema un fichero con
el nombre largo ‘512-14-LFN01’ en la
carpeta ‘Test’, el día 30-05-2020 a las 15:05:08. A este
fichero se le asignó la entrada número 93893
en la MFT. Tras esperar 10 segundos, se creó un segundo fichero con el nombre corto
‘512-14~2’, que es el equivalente a un
nombre corto 8.3, en la misma carpeta, a las 15:05:18. A este segundo fichero se le asignó la entrada número 93996 en la MFT.
Después de esperar 300
segundos, se eliminó el fichero con el nombre ‘512-14-LFN01’ y, tras una espera de 14000 milisegundos, se
renombró el fichero ‘512-14~2’ a ‘512-14~2’, que es el equivalente al
nombre corto 8.3 del fichero ‘512-14-LFN01’.
Tal y como puedes comprobar
en los extractos de las tablas anteriores, el fichero ‘512-14-LFN01’, que ocupaba la entrada número 93893 en la MFT, ha sido eliminado y, el fichero ‘512-14~2’, que ocupa la entrada 93996 en la MFT, ahora ha pasado a
denominarse ‘512-14~1’.
En lo referente a las marcas
de tiempo, en ambos casos se muestran las fechas originales para cada uno de
los dos ficheros, por lo que, en este caso, con un tiempo de espera de 14000 milisegundos, no se ha generado un
efecto túnel.
Crear
un fichero ‘A’ en una carpeta; crear un fichero ‘B’, en la misma carpeta;
eliminar el fichero ‘A’; y renombrar el fichero ‘B’ como ‘A’
·
Crear
un fichero ‘A’, de 512 bytes, con nombre corto
·
Crear
un fichero ‘B’, de 512 bytes, con nombre corto
·
Eliminar
el fichero ‘A’
·
Establecer
un tiempo de espera de 14000 milisegundos
·
Renombrar
el fichero ‘B’ a ‘A’
En esta prueba, tal y como
puedes ver en la anterior imagen animada, se creó en el sistema un fichero con
el nombre corto ‘512-14~1’ en la
carpeta ‘Test’, el día 01-06-2020 a las 05:26:59. A este
fichero se le asignó la entrada número 93893
en la MFT. Tras esperar 10 segundos, se creó un segundo fichero con el nombre
largo ‘512-14~2’, en la misma
carpeta, a las 05:27:09. A este
segundo fichero se le asignó la entrada número 94000 en la MFT.
Después de esperar 300
segundos, se eliminó el fichero con el nombre ‘512-14~1’ y, tras una espera de 14000 milisegundos, se renombró el
fichero ‘512-14~2’ a ‘512-14~1’.
Tal y como puedes comprobar
en los extractos de las tablas anteriores, el fichero ‘512-14~1’, que ocupaba originalmente la entrada número 93893, ya no se encuentra disponible en
la MFT, al haber sido, dicha entrada, reemplazada por otra que pertenece, ahora,
al fichero ‘ht_settings.ini’, de la
aplicación Active Disk Editor, a las 05:33:08.
Por otro lado, el fichero ‘512-14~2’,
que ocupa la entrada 94000 en la
MFT, ahora ha pasado a denominarse ‘512-14~1’.
En lo referente a las marcas
de tiempo, el fichero renombrado fue creado el día 01-06-2020 a las 05:27:09, (en color verde). Sin embargo, tal y como
puedes comprobar, al renombrarlo con el mismo nombre de fichero que el
eliminado, adquiere la fecha de creación de ese fichero eliminado, a las 05:26:59, (en color rojo), presentando, en las
demás marcas de tiempo, la fecha original de creación del fichero. Esto indica
que, en este caso, con un tiempo de
espera de 14000 milisegundos, se ha generado un efecto túnel.
Crear
un fichero ‘A’ en una carpeta; crear un fichero ‘B’, en la misma carpeta;
eliminar el fichero ‘A’; y renombrar el fichero ‘B’ como ‘A’
·
Crear
un fichero ‘A’, de 512 bytes, con nombre corto
·
Crear
un fichero ‘B’, de 512 bytes, con nombre corto
·
Eliminar
el fichero ‘A’
·
Establecer
un tiempo de espera de 15000 milisegundos
·
Renombrar
el fichero ‘B’ a ‘A’
En esta prueba, tal y como
puedes ver en la anterior imagen animada, se creó en el sistema un fichero con
el nombre corto ‘512-15~1’ en la
carpeta ‘Test’, el día 02-06-2020 a las 09:09:28. A este
fichero se le asignó la entrada número 93893
en la MFT. Tras esperar 10 segundos, se creó un segundo fichero con el nombre corto
‘512-15~1’, en la misma carpeta, a
las 09:09:38. A este segundo fichero
se le asignó la entrada número 94000
en la MFT.
Después de esperar 300
segundos, se eliminó el fichero con el nombre ‘512-15~1’y, tras una espera de 15000 milisegundos, se renombró el
fichero ‘512-15~2’ a ‘512-15~1’.
Tal y como puedes comprobar
en los extractos de las tablas anteriores, el fichero ‘512-15~1’, que ocupaba originalmente la entrada número 93893, ya no se encuentra disponible en
la MFT, al haber sido, dicha entrada, reemplazada por otra que pertenece, ahora,
al fichero ‘ht_settings.ini’, de la
aplicación Active Disk Editor, a las 09:15:42.
Por otro lado, el fichero ‘512-15~2’,
que ocupa la entrada 94000 en la
MFT, ahora ha pasado a denominarse ‘512-15~1’.
En lo referente a las marcas
de tiempo, en ambos casos se muestran las fechas originales para el fichero ‘512-15~1’, por lo que, en este caso, con un tiempo de espera de 15000
milisegundos, no se ha generado un efecto túnel.
Crear
un fichero ‘A’ en una carpeta; crear un fichero ‘B’, en la misma carpeta; eliminar
el fichero ‘A’; y renombrar el fichero ‘B’ como ‘A’
·
Crear
un fichero ‘A’, de 512 bytes, con nombre largo
·
Crear
un fichero ‘B’, de 4096 bytes, con nombre largo
·
Eliminar
el fichero ‘A’
·
Establecer
un tiempo de espera de 14000 milisegundos
·
Renombrar
el fichero ‘B’ a ‘A’
En esta prueba, tal y como
puedes ver en la anterior imagen animada, se creó en el sistema un fichero con
el nombre largo ‘512-14-LFN01’ en la
carpeta ‘Test’, el día 31-05-2020 a las 14:20:22. A este
fichero se le asignó la entrada número 93893
en la MFT. Tras esperar 10 segundos, se creó un segundo fichero con el nombre
largo ‘512-14-LFN02’, en la misma
carpeta, a las 14:20:32. A este
segundo fichero se le asignó la entrada número 94000 en la MFT.
Después de esperar 300
segundos, se eliminó el fichero con el nombre ‘512-14-LFN01’ y, tras una espera de 14000 milisegundos, se
renombró el fichero ‘512-14-LFN02’ a
‘512-14-LFN01’.
Tal y como puedes comprobar
en los extractos de las tablas anteriores, el fichero ‘512-14-LFN01’, que ocupaba la entrada número 93893 en la MFT, ha sido eliminado y, el fichero ‘512-14-LFN02’, que ocupa la entrada 94000 en la MFT, ahora ha pasado a
denominarse ‘512-14-LFN01’.
En lo referente a las marcas
de tiempo, el fichero renombrado fue creado el día 31-05-2020 a las 14:20:32, (en color verde). Sin embargo, tal y como
puedes comprobar, al renombrarlo con el mismo nombre de fichero que el
eliminado, adquiere la fecha de creación de ese fichero eliminado, a las 14:20:22, (en color rojo), presentando, en las
demás marcas de tiempo, la fecha original de creación del fichero. Esto indica
que, en este caso, con un tiempo de
espera de 14000 milisegundos, se ha generado un efecto túnel.
Crear
un fichero ‘A’ en una carpeta; crear un fichero ‘B’, en la misma carpeta;
eliminar el fichero ‘A’; y renombrar el fichero ‘B’ como ‘A’
·
Crear
un fichero ‘A’, de 512 bytes, con nombre largo
·
Crear
un fichero ‘B’, de 4096 bytes, con nombre largo
·
Eliminar
el fichero ‘A’
·
Establecer
un tiempo de espera de 15000 milisegundos
·
Renombrar
el fichero ‘B’ a ‘A’
En esta prueba, tal y como
puedes ver en la anterior imagen animada, se creó en el sistema un fichero con
el nombre largo ‘512-15-LFN01’ en la
carpeta ‘Test’, el día 02-06-2020 a las 18:23:35. A este
fichero se le asignó la entrada número 93893
en la MFT. Tras esperar 10 segundos, se creó un segundo fichero con el nombre largo
‘512-15-LFN02’, en la misma carpeta,
a las 18:23:46. A este segundo
fichero se le asignó la entrada número 94000
en la MFT.
Después de esperar 300
segundos, se eliminó el fichero con el nombre ‘512-14-LFN01’ y, tras una espera de 15000 milisegundos, se
renombró el fichero ‘512-14-LFN02’ a ‘512-14-LFN01’.
Tal y como puedes comprobar
en los extractos de las tablas anteriores, el fichero ‘512-15-LFN01’, que ocupaba originalmente la entrada número 93893, ya no se encuentra disponible en
la MFT, al haber sido, dicha entrada, reemplazada por otra que pertenece,
ahora, al fichero ‘ht_settings.ini’,
de la aplicación Active Disk Editor, a las 18:30:02.
Por otro lado, el fichero ‘512-15-LFN02’,
que ocupa la entrada 94000 en la
MFT, ahora ha pasado a denominarse ‘512-15-LFN01’.
En lo referente a las marcas
de tiempo, en ambos casos se muestran las fechas originales para el fichero ‘512-15-LFN01’, por lo que, en este
caso, con un tiempo de espera de 15000 milisegundos,
no se ha generado un efecto túnel.
Crear
un fichero ‘A’ en una carpeta; crear un fichero ‘B’, en la misma carpeta;
eliminar el fichero ‘A’; y renombrar el fichero ‘B’ como ‘A’
·
Crear
un fichero ‘A’, de 4096 bytes, con nombre largo
·
Crear
un fichero ‘B’, de 512 bytes, con nombre largo
·
Eliminar
el fichero ‘A’
·
Establecer
un tiempo de espera de 14000 milisegundos
·
Renombrar
el fichero ‘B’ a ‘A’
En esta prueba, tal y como
puedes ver en la anterior imagen animada, se creó en el sistema un fichero con
el nombre largo ‘4096_512_14_Seconds01’
en la carpeta ‘Test’, el día 02-06-2020 a las 09:18:09. A este
fichero se le asignó la entrada número 93893
en la MFT. Tras esperar 10 segundos, se creó un segundo fichero con el nombre
largo ‘4096_512_14_Seconds02’, en la
misma carpeta, a las 09:18:19. A
este segundo fichero se le asignó la entrada número 94001 en la MFT.
Después de esperar 300
segundos, se eliminó el fichero con el nombre ‘4096_512_14_Seconds01’ y, tras una espera de 14000 milisegundos,
se renombró el fichero ‘4096_512_14_Seconds02’
a ‘4096_512_14_Seconds01’.
Tal y como puedes comprobar
en los extractos de las tablas anteriores, el fichero ‘4096_512_14_Seconds01’, que ocupaba la entrada número 93893 en la MFT, ha sido eliminado y,
el fichero ‘4096_512_14_Seconds02’,
que ocupa la entrada 94001 en la
MFT, ahora ha pasado a denominarse ‘4096_512_14_Seconds01’.
En lo referente a las marcas
de tiempo, el fichero renombrado fue creado el día 02-06-2020 a las 09:18:19, (en color verde). Sin embargo, tal y como
puedes comprobar, al renombrarlo con el mismo nombre de fichero que el
eliminado, adquiere la fecha de creación de ese fichero eliminado, a las 09:18:09, (en color rojo), presentando, en las
demás marcas de tiempo, la fecha original de creación del fichero. Esto indica
que, en este caso, con un tiempo de
espera de 14000 milisegundos, se ha generado un efecto túnel.
Crear
un fichero ‘A’ en una carpeta; crear un fichero ‘B’, en la misma carpeta;
eliminar el fichero ‘A’; y renombrar el fichero ‘B’ como ‘A’
·
Crear
un fichero ‘A’, de 512 bytes, con nombre largo
·
Crear
un fichero ‘B’, de 512 bytes, con nombre largo
·
Eliminar
el fichero ‘A’
·
Establecer
un tiempo de espera de 15000 milisegundos
·
Renombrar
el fichero ‘B’ a ‘A’
En esta prueba, tal y como
puedes ver en la anterior imagen animada, se creó en el sistema un fichero con
el nombre largo ‘4096_512_15_Seconds01’
en la carpeta ‘Test’, el día 02-06-2020 a las 09:25:51. A este
fichero se le asignó la entrada número 93893
en la MFT. Tras esperar 10 segundos, se creó un segundo fichero con el nombre
largo ‘4096_512_15_Seconds02’, en la
misma carpeta, a las 09:26:01. A
este segundo fichero se le asignó la entrada número 94000 en la MFT.
Después de esperar 300
segundos, se eliminó el fichero con el nombre ‘4096_512_15_Seconds01’ y, tras una espera de 15000 milisegundos,
se renombró el fichero ‘4096_512_15_Seconds02’
a ‘4096_512_15_Seconds01’.
Tal y como puedes comprobar
en los extractos de las tablas anteriores, el fichero ‘4096_512_15_Seconds01’, que ocupaba la entrada número 93893 en la MFT, ha sido eliminado y,
el fichero ‘4096_512_15_Seconds02’,
que ocupa la entrada 94000 en la
MFT, ahora ha pasado a denominarse ‘4096_512_15_Seconds01’.
En lo referente a las marcas
de tiempo, en ambos casos se muestran las fechas originales para cada uno de
los dos ficheros, por lo que, con un
tiempo de espera de 15000 milisegundos, no se ha generado un efecto túnel.
CCRR
Crear
un fichero ‘A’ en una carpeta; crear un fichero ‘B’, en la misma carpeta; renombrar
el fichero ‘A’ como ‘C’; y renombrar el fichero ‘B’ como ‘A’
·
Crear
un fichero ‘A’, de 512 bytes, con nombre largo
·
Crear
un fichero ‘B’, de 512 bytes, con nombre largo
·
Renombrar
el fichero ‘A’ como ‘C’
·
Establecer
un tiempo de espera de 14000 milisegundos
·
Renombrar
el fichero ‘B’ a ‘A’
En esta prueba, tal y como
puedes ver en la anterior imagen animada, se creó en el sistema un fichero con
el nombre largo ‘512-14-LFN01’ en la
carpeta ‘Test’, el día 29-05-2020 a las 15:54:55. A este
fichero se le asignó la entrada número 93893
en la MFT. Tras esperar 10 segundos, se creó un segundo fichero con el nombre largo
‘512-14-LFN02’, en la misma carpeta,
a las 15:55:06. A este segundo
fichero se le asignó la entrada número 93995
en la MFT.
Después de esperar 300
segundos, se renombró el fichero con el nombre ‘512-14-LFN01’ a ‘512-14-LFN03’
y, tras una espera de 14000 milisegundos, se renombró el fichero ‘512-14-LFN02’ a ‘512-14-LFN01’.
Tal y como puedes comprobar
en los extractos de las tablas anteriores, el fichero ‘512-14-LFN01’, que ocupa la entrada número 93893 en la MFT, ha sido renombrado y sigue ocupando la misma
entrada y, el fichero ‘512-14-LFN02’,
que ocupa la entrada 93995 en la
MFT, ahora ha pasado a denominarse ‘512-14-LFN01’.
En lo referente a las marcas
de tiempo, el fichero renombrado de ‘512-14-LFN02’
a ‘512-14-LFN01’ fue creado el día 29-05-2020 a las 15:55:06, (en color verde).
Sin embargo, tal y como puedes comprobar, al renombrarlo con el mismo nombre de
fichero que el renombrado anteriormente a ‘512-14-LFN03’,
adquiere la fecha de creación de ese fichero renombrado, a las 15:54:55, (en color rojo), presentando, en las
demás marcas de tiempo, la fecha original de creación del fichero. Esto indica
que, en este caso, con un tiempo de
espera de 14000 milisegundos, se ha generado un efecto túnel.
Crear
un fichero ‘A’ en una carpeta; crear un fichero ‘B’, en la misma carpeta; renombrar
el fichero ‘A’ como ‘C’; y renombrar el fichero ‘B’ como ‘A’
·
Crear
un fichero ‘A’, de 512 bytes, con nombre largo
·
Crear
un fichero ‘B’, de 512 bytes, con nombre largo
·
Renombrar
el fichero ‘A’ como ‘C’
·
Establecer
un tiempo de espera de 15000 milisegundos
·
Renombrar
el fichero ‘B’ a ‘A’
En esta prueba, tal y como
puedes ver en la anterior imagen animada, se creó en el sistema un fichero con
el nombre largo ‘512-15-LFN01’ en la
carpeta ‘Test’, el día 01-06-2020 a las 10:32:25. A este
fichero se le asignó la entrada número 93893
en la MFT. Tras esperar 10 segundos, se creó un segundo fichero con el nombre largo
‘512-15-LFN02’, en la misma carpeta,
a las 10:32:36. A este segundo
fichero se le asignó la entrada número 94000
en la MFT.
Después de esperar 300
segundos, se renombró el fichero con el nombre ‘512-15-LFN01’ a ‘512-15-LFN03’
y, tras una espera de 15000 milisegundos, se renombró el fichero ‘512-15-LFN02’ a ‘512-15-LFN01’.
Tal y como puedes comprobar
en los extractos de las tablas anteriores, el fichero ‘512-15-LFN01’, que ocupa la entrada número 93893 en la MFT, ha sido renombrado y sigue ocupando la misma
entrada y, el fichero ‘512-15-LFN02’,
que ocupa la entrada 94000 en la
MFT, ahora ha pasado a denominarse ‘512-15-LFN01’.
En lo referente a las marcas
de tiempo, en ambos casos se muestran las fechas originales para cada uno de
los dos ficheros, por lo que, con un
tiempo de espera de 15000 milisegundos, no se ha generado un efecto túnel.
Crear
un fichero ‘A’ en una carpeta; crear un fichero ‘B’, en la misma carpeta; renombrar
el fichero ‘A’ como ‘C’; y renombrar el fichero ‘B’ como ‘A’
·
Crear
un fichero ‘A’, de 512 bytes, con nombre largo
·
Crear
un fichero ‘B’, de 512 bytes, con nombre corto
·
Renombrar
el fichero ‘A’ como ‘C’
·
Establecer
un tiempo de espera de 14000 milisegundos
·
Renombrar
el fichero ‘B’ a ‘A’
En esta prueba, tal y como
puedes ver en la anterior imagen animada, se creó en el sistema un fichero con
el nombre largo ‘512-14-LFN01’ en la
carpeta ‘Test’, el día 30-05-2020 a las 15:13:13. A este
fichero se le asignó la entrada número 93893
en la MFT. Tras esperar 10 segundos, se creó un segundo fichero con el nombre
corto ‘512-14~2’, que es el
equivalente a un nombre corto 8.3, en la misma carpeta, a las 15:13:23. A este segundo fichero se le
asignó la entrada número 93996 en la
MFT.
Después de esperar 300
segundos, se renombró el fichero con el nombre ‘512-14-LFN01’ a ‘512-14-LFN03’
y, tras una espera de 14000 milisegundos, se renombró el fichero ‘512-14~2’ a ‘512-14-LFN01’.
Tal y como puedes comprobar
en los extractos de las tablas anteriores, el fichero ‘512-14-LFN01’, que ocupa la entrada número 93893 en la MFT, ha sido renombrado y sigue ocupando la misma
entrada y, el fichero ‘512-14~2’,
que ocupa la entrada 93996 en la
MFT, ahora ha pasado a denominarse ‘512-14-LFN01’.
En lo referente a las marcas
de tiempo, el fichero renombrado de ‘512-14~2’
a ‘512-14-LFN01’ fue creado el día 30-05-2020 a las 15:13:23, (en color verde).
Sin embargo, tal y como puedes comprobar, al renombrarlo con el mismo nombre de
fichero que el renombrado anteriormente a ‘512-14-LFN03’,
adquiere la fecha de creación de ese fichero renombrado, a las 15:13:13, (en color rojo), presentando, en las
demás marcas de tiempo, la fecha original de creación del fichero. Esto indica
que, en este caso, con un tiempo de
espera de 14000 milisegundos, se ha generado un efecto túnel.
Crear
un fichero ‘A’ en una carpeta; crear un fichero ‘B’, en la misma carpeta; renombrar
el fichero ‘A’ como ‘C’; y renombrar el fichero ‘B’ como ‘A’
·
Crear
un fichero ‘A’, de 512 bytes, con nombre largo
·
Crear
un fichero ‘B’, de 512 bytes, con nombre corto
·
Renombrar
el fichero ‘A’ como ‘C’
·
Establecer
un tiempo de espera de 15000 milisegundos
·
Renombrar
el fichero ‘B’ a ‘A’
En esta prueba, tal y como
puedes ver en la anterior imagen animada, se creó en el sistema un fichero con
el nombre largo ‘512-15-LFN01’ en la
carpeta ‘Test’, el día 02-06-2020 a las 09:56:02. A este
fichero se le asignó la entrada número 93893
en la MFT. Tras esperar 10 segundos, se creó un segundo fichero con el nombre
corto ‘512-15~2’, que es el
equivalente a un nombre corto 8.3, en la misma carpeta, a las 09:56:11. A este segundo fichero se le
asignó la entrada número 94001 en la
MFT.
Después de esperar 300
segundos, se renombró el fichero con el nombre ‘512-15-LFN01’ a ‘512-15-LFN03’
y, tras una espera de 15000 milisegundos, se renombró el fichero ‘512-15~2’ a ‘512-15-LFN01’.
Tal y como puedes comprobar
en los extractos de las tablas anteriores, el fichero ‘512-15-LFN01’, que ocupa la entrada número 93893 en la MFT, ha sido renombrado y sigue ocupando la misma
entrada y, el fichero ‘512-15~2’,
que ocupa la entrada 94000 en la MFT,
ahora ha pasado a denominarse ‘512-15-LFN01’.
En lo referente a las marcas
de tiempo, en ambos casos se muestran las fechas originales para cada uno de
los dos ficheros, por lo que, con un
tiempo de espera de 15000 milisegundos, no se ha generado un efecto túnel.
Crear
un fichero ‘A’ en una carpeta; crear un fichero ‘B’, en la misma carpeta; renombrar
el fichero ‘A’ como ‘C’; y renombrar el fichero ‘B’ como ‘A’
·
Crear
un fichero ‘A’, de 512 bytes, con nombre corto
·
Crear
un fichero ‘B’, de 512 bytes, con nombre corto
·
Renombrar
el fichero ‘A’ como ‘C’
·
Establecer
un tiempo de espera de 14000 milisegundos
·
Renombrar
el fichero ‘B’ a ‘A’
En esta prueba, tal y como
puedes ver en la anterior imagen animada, se creó en el sistema un fichero con
el nombre corto ‘512-14~1’ en la
carpeta ‘Test’, el día 01-06-2020 a las 05:35:48. A este
fichero se le asignó la entrada número 93893
en la MFT. Tras esperar 10 segundos, se creó un segundo fichero con el nombre
corto ‘512-14~2’, en la misma
carpeta, a las 05:35:58. A este
segundo fichero se le asignó la entrada número 94000 en la MFT.
Después de esperar 300
segundos, se renombró el fichero con el nombre ‘512-14~1’ a ‘512-14~3’
y, tras una espera de 14000 milisegundos, se renombró el fichero ‘512-14~2’ a ‘512-14~1’.
Tal y como puedes comprobar
en los extractos de las tablas anteriores, el fichero ‘512-14~1’, que ocupa la entrada número 93893 en la MFT, ha sido renombrado y sigue ocupando la misma
entrada y, el fichero ‘512-14~2’,
que ocupa la entrada 94000 en la
MFT, ahora ha pasado a denominarse ‘512-14~1’.
En lo referente a las marcas
de tiempo, el fichero renombrado de ‘512-14~2’
a ‘512-14~1’ fue creado el día 01-06-2020 a las 05:35:58, (en color verde).
Sin embargo, tal y como puedes comprobar, al renombrarlo con el mismo nombre de
fichero que el renombrado anteriormente a ‘512-14~3’,
adquiere la fecha de creación de ese fichero renombrado, a las 05:35:48, (en color rojo), presentando, en las
demás marcas de tiempo, la fecha original de creación del fichero. Esto indica
que, en este caso, con un tiempo de
espera de 14000 milisegundos, se ha generado un efecto túnel.
Crear
un fichero ‘A’ en una carpeta; crear un fichero ‘B’, en la misma carpeta; renombrar
el fichero ‘A’ como ‘C’; y renombrar el fichero ‘B’ como ‘A’
·
Crear
un fichero ‘A’, de 512 bytes, con nombre corto
·
Crear
un fichero ‘B’, de 512 bytes, con nombre corto
·
Renombrar
el fichero ‘A’ como ‘C’
·
Establecer
un tiempo de espera de 15000 milisegundos
·
Renombrar
el fichero ‘B’ a ‘A’
En esta prueba, tal y como
puedes ver en la anterior imagen animada, se creó en el sistema un fichero con
el nombre largo ‘512-14~1’ en la
carpeta ‘Test’, el día 02-06-2020 a las 10:27:39. A este
fichero se le asignó la entrada número 93893
en la MFT. Tras esperar 10 segundos, se creó un segundo fichero con el nombre
corto ‘512-14~2’, en la misma
carpeta, a las 10:27:49. A este
segundo fichero se le asignó la entrada número 94002 en la MFT.
Después de esperar 300
segundos, se renombró el fichero con el nombre ‘512-15~1’ a ‘512-15~3’
y, tras una espera de 15000 milisegundos, se renombró el fichero ‘512-15~2’ a ‘512-15~1’.
Tal y como puedes comprobar
en los extractos de las tablas anteriores, el fichero ‘512-15~1’, que ocupa la entrada número 93893 en la MFT, ha sido renombrado y sigue ocupando la misma
entrada y, el fichero ‘512-15~2’,
que ocupa la entrada 94002 en la
MFT, ahora ha pasado a denominarse ‘512-15~1’.
En lo referente a las marcas
de tiempo, en ambos casos se muestran las fechas originales para cada uno de
los dos ficheros, por lo que, con un
tiempo de espera de 15000 milisegundos, no se ha generado un efecto túnel.
Crear
un fichero ‘A’ en una carpeta; crear un fichero ‘B’, en la misma carpeta; renombrar
el fichero ‘A’ como ‘C’; y renombrar el fichero ‘B’ como ‘A’
·
Crear
un fichero ‘A’, de 512 bytes, con nombre largo
·
Crear
un fichero ‘B’, de 4096 bytes, con nombre largo
·
Renombrar
el fichero ‘A’ como ‘C’
·
Establecer
un tiempo de espera de 14000 milisegundos
·
Renombrar
el fichero ‘B’ a ‘A’
En esta prueba, tal y como
puedes ver en la anterior imagen animada, se creó en el sistema un fichero con
el nombre largo ‘512-14-LFN01’ en la
carpeta ‘Test’, el día 31-05-2020 a las 14:29:32. A este
fichero se le asignó la entrada número 93893
en la MFT. Tras esperar 10 segundos, se creó un segundo fichero con el nombre
largo ‘512-14-LFN02’, en la misma
carpeta, a las 14:29:42. A este
segundo fichero se le asignó la entrada número 94000 en la MFT.
Después de esperar 300
segundos, se renombró el fichero con el nombre ‘512-14-LFN01’ a ‘512-14-LFN03’
y, tras una espera de 14000 milisegundos, se renombró el fichero ‘512-14-LFN02’ a ‘512-14-LFN01’.
Tal y como puedes comprobar
en los extractos de las tablas anteriores, el fichero ‘512-14-LFN01’, que ocupa la entrada número 93893 en la MFT, ha sido renombrado y sigue ocupando la misma
entrada y, el fichero ‘512-14-LFN02’,
que ocupa la entrada 94000 en la
MFT, ahora ha pasado a denominarse ‘512-14-LFN01’.
En lo referente a las marcas
de tiempo, el fichero renombrado de ‘512-14-LFN02’
a ‘512-14-LFN01’ fue creado el día 31-05-2020 a las 14:29:42, (en color verde).
Sin embargo, tal y como puedes comprobar, al renombrarlo con el mismo nombre de
fichero que el renombrado anteriormente a ‘512-14-LFN03’,
adquiere la fecha de creación de ese fichero renombrado, a las 14:29:32, (en color rojo), presentando, en las
demás marcas de tiempo, la fecha original de creación del fichero. Esto indica
que, en este caso, con un tiempo de
espera de 14000 milisegundos, se ha generado un efecto túnel.
Crear
un fichero ‘A’ en una carpeta; crear un fichero ‘B’, en la misma carpeta; renombrar
el fichero ‘A’ como ‘C’; y renombrar el fichero ‘B’ como ‘A’
·
Crear
un fichero ‘A’, de 512 bytes, con nombre largo
·
Crear
un fichero ‘B’, de 4096 bytes, con nombre largo
·
Renombrar
el fichero ‘A’ como ‘C’
·
Establecer
un tiempo de espera de 15000 milisegundos
·
Renombrar
el fichero ‘B’ a ‘A’
En esta prueba, tal y como
puedes ver en la anterior imagen animada, se creó en el sistema un fichero con
el nombre largo ‘512-15-LFN01’ en la
carpeta ‘Test’, el día 02-06-2020 a las 10:05:54. A este
fichero se le asignó la entrada número 93893
en la MFT. Tras esperar 10 segundos, se creó un segundo fichero con el nombre
largo ‘512-15-LFN02’, en la misma
carpeta, a las 10:06:04. A este
segundo fichero se le asignó la entrada número 94000 en la MFT.
Después de esperar 300
segundos, se renombró el fichero con el nombre ‘512-15-LFN01’ a ‘512-15-LFN03’
y, tras una espera de 15000 milisegundos, se renombró el fichero ‘512-15-LFN02’ a ‘512-15-LFN01’.
Tal y como puedes comprobar
en los extractos de las tablas anteriores, el fichero ‘512-15-LFN01’, que ocupa la entrada número 93893 en la MFT, ha sido renombrado y sigue ocupando la misma
entrada y, el fichero ‘512-15-LFN02’,
que ocupa la entrada 94000 en la
MFT, ahora ha pasado a denominarse ‘512-15-LFN01’.
En lo referente a las marcas
de tiempo, en ambos casos se muestran las fechas originales para cada uno de
los dos ficheros, por lo que, con un
tiempo de espera de 15000 milisegundos, no se ha generado un efecto túnel.
Crear
un fichero ‘A’ en una carpeta; crear un fichero ‘B’, en la misma carpeta; renombrar
el fichero ‘A’ como ‘C’; y renombrar el fichero ‘B’ como ‘A’
·
Crear
un fichero ‘A’, de 4096 bytes, con nombre largo
·
Crear
un fichero ‘B’, de 512 bytes, con nombre largo
·
Renombrar
el fichero ‘A’ como ‘C’
·
Establecer
un tiempo de espera de 14000 milisegundos
·
Renombrar
el fichero ‘B’ a ‘A’
En esta prueba, tal y como
puedes ver en la anterior imagen animada, se creó en el sistema un fichero con
el nombre largo ‘512-14-LFN01’ en la
carpeta ‘Test’, el día 02-06-2020 a las 11:21:07. A este
fichero se le asignó la entrada número 93893
en la MFT. Tras esperar 10 segundos, se creó un segundo fichero con el nombre
largo ‘512-14-LFN02’, en la misma
carpeta, a las 11:21:17. A este
segundo fichero se le asignó la entrada número 94000 en la MFT.
Después de esperar 300
segundos, se renombró el fichero con el nombre ‘512-14-LFN01’ a ‘512-14-LFN03’
y, tras una espera de 14000 milisegundos, se renombró el fichero ‘512-14-LFN02’ a ‘512-14-LFN01’.
Tal y como puedes comprobar
en los extractos de las tablas anteriores, el fichero ‘512-14-LFN01’, que ocupa la entrada número 93893 en la MFT, ha sido renombrado y sigue ocupando la misma
entrada y, el fichero ‘512-14-LFN02’,
que ocupa la entrada 94000 en la
MFT, ahora ha pasado a denominarse ‘512-14-LFN01’.
En lo referente a las marcas
de tiempo, el fichero renombrado de ‘512-14-LFN02’
a ‘512-14-LFN01’ fue creado el día 02-06-2020 a las 11:21:17, (en color verde).
Sin embargo, tal y como puedes comprobar, al renombrarlo con el mismo nombre de
fichero que el renombrado anteriormente a ‘512-14-LFN03’,
adquiere la fecha de creación de ese fichero renombrado, a las 11:21:07, (en color rojo), presentando, en las
demás marcas de tiempo, la fecha original de creación del fichero. Esto indica
que, en este caso, con un tiempo de
espera de 14000 milisegundos, se ha generado un efecto túnel.
Crear
un fichero ‘A’ en una carpeta; crear un fichero ‘B’, en la misma carpeta; renombrar
el fichero ‘A’ como ‘C’; y renombrar el fichero ‘B’ como ‘A’
·
Crear
un fichero ‘A’, de 4096 bytes, con nombre largo
·
Crear
un fichero ‘B’, de 512 bytes, con nombre largo
·
Renombrar
el fichero ‘A’ como ‘C’
·
Establecer
un tiempo de espera de 15000 milisegundos
·
Renombrar
el fichero ‘B’ a ‘A’
En esta prueba, tal y como
puedes ver en la anterior imagen animada, se creó en el sistema un fichero con
el nombre largo ‘512-15-LFN01’ en la
carpeta ‘Test’, el día 02-06-2020 a las 11:29:49. A este
fichero se le asignó la entrada número 93893
en la MFT. Tras esperar 10 segundos, se creó un segundo fichero con el nombre
largo ‘512-15-LFN02’, en la misma
carpeta, a las 11:29:59. A este
segundo fichero se le asignó la entrada número 94000 en la MFT.
Después de esperar 300
segundos, se renombró el fichero con el nombre ‘512-15-LFN01’ a ‘512-15-LFN03’
y, tras una espera de 15000 milisegundos, se renombró el fichero ‘512-15-LFN02’ a ‘512-15-LFN01’.
Tal y como puedes comprobar
en los extractos de las tablas anteriores, el fichero ‘512-15-LFN01’, que ocupa la entrada número 93893 en la MFT, ha sido renombrado y sigue ocupando la misma
entrada y, el fichero ‘512-15-LFN02’,
que ocupa la entrada 94000 en la
MFT, ahora ha pasado a denominarse ‘512-15-LFN01’.
En lo referente a las marcas
de tiempo, en ambos casos se muestran las fechas originales para cada uno de
los dos ficheros, por lo que, con un
tiempo de espera de 15000 milisegundos, no se ha generado un efecto túnel.
CDC
Crear
un fichero ‘A’ en una carpeta; eliminar el fichero ‘A’; y volver a crear un
fichero ‘A’, en la misma carpeta
·
Crear
un fichero ‘A’, de 512 bytes, con nombre largo
·
Eliminar
el fichero ‘A’
·
Establecer
un tiempo de espera de 14000 milisegundos
·
Volver
a crear un fichero ‘A’, de 512 bytes, con nombre largo, en la misma carpeta
En esta prueba, tal y como
puedes ver en la anterior imagen animada, se creó en el sistema un fichero con
el nombre largo ‘512-14-LFN’ en la
carpeta ‘Test’, el día 29-05-2020 a las 17:27:12. A este
fichero se le asignó la entrada número 93893
en la MFT.
Después de esperar 300
segundos, se eliminó el fichero con el nombre ‘512-14-LFN’ y, tras una espera de 14000 milisegundos, se volvió a
crear otro fichero del mismo tamaño, en la misma carpeta, con el nombre ‘512-14-LFN’.
Tal y como puedes comprobar
en los extractos de las tablas anteriores, el fichero ‘512-14-LFN’, que ocupaba la entrada número 93893 en la MFT, ha sido eliminado. Del mismo modo, se ha creado el
fichero ‘512-14-LFN’, que ocupa la
entrada 93011 en la MFT.
En lo referente a las marcas
de tiempo, el último fichero creado, que ocupa la entrada número 93011, fue creado el día 29-05-2020 a las 17:32:26. Sin embargo,
tal y como puedes comprobar, al crearlo con el mismo nombre de fichero que el
eliminado anteriormente, adquiere la fecha de creación de ese fichero
eliminado, a las 17:27:12, (en color rojo),
presentando, en las demás marcas de tiempo, la fecha original de creación del
fichero. Esto indica que, en este caso, con
un tiempo de espera de 14000 milisegundos, se ha generado un efecto túnel.
Crear
un fichero ‘A’ en una carpeta; eliminar el fichero ‘A’; y volver a crear un
fichero ‘A’, en la misma carpeta
·
Crear
un fichero ‘A’, de 512 bytes, con nombre largo
·
Eliminar
el fichero ‘A’
·
Establecer
un tiempo de espera de 15000 milisegundos
·
Volver
a crear un fichero ‘A’, de 512 bytes, con nombre largo, en la misma carpeta
En esta prueba, tal y como
puedes ver en la anterior imagen animada, se creó en el sistema un fichero con
el nombre largo ‘512-15-LFN’ en la
carpeta ‘Test’, el día 01-06-2020 a las 15:51:03. A este
fichero se le asignó la entrada número 93893
en la MFT.
Después de esperar 300
segundos, se eliminó el fichero con el nombre ‘512-15-LFN’ y, tras una espera de 15000 milisegundos, se volvió a
crear otro fichero del mismo tamaño, en la misma carpeta, con el nombre ‘512-15-LFN’.
Tal y como puedes comprobar
en los extractos de las tablas anteriores, el fichero ‘512-15-LFN’, que ocupaba la entrada número 93893 en la MFT, ha sido eliminado y ya no se encuentra disponible
en la MFT, al haber sido, dicha entrada, reemplazada por otra que pertenece,
ahora, al fichero ‘ht_settings.ini’,
de la aplicación Active Disk Editor, a las 15:57:26.
Del mismo modo, se ha creado el fichero ‘512-15-LFN’,
que ocupa la entrada 93751 en la
MFT.
En lo referente a las marcas
de tiempo, se muestran las fechas originales para el fichero recién creado, por
lo que, con un tiempo de espera de 15000
milisegundos, no se ha generado un efecto túnel.
Crear
un fichero ‘A’ en una carpeta; eliminar el fichero ‘A’; y volver a crear un
fichero ‘A’, en la misma carpeta
·
Crear
un fichero ‘A’, de 512 bytes, con nombre largo
·
Eliminar
el fichero ‘A’
·
Establecer
un tiempo de espera de 14000 milisegundos
·
Volver
a crear un fichero ‘A’, de 512 bytes, con nombre corto, en la misma carpeta
En esta prueba, tal y como
puedes ver en la anterior imagen animada, se creó en el sistema un fichero con
el nombre largo ‘512-14-LFN’ en la
carpeta ‘Test’, el día 31-05-2020 a las 05:27:08. A este
fichero se le asignó la entrada número 93893
en la MFT.
Después de esperar 300
segundos, se eliminó el fichero con el nombre ‘512-14-LFN’ y, tras una espera de 14000 milisegundos, se volvió a
crear otro fichero del mismo tamaño, en la misma carpeta, con el nombre corto ‘512-14~1’.
Tal y como puedes comprobar
en los extractos de las tablas anteriores, el fichero ‘512-14-LFN’, que ocupaba la entrada número 93893 en la MFT, ha sido eliminado y ya no se encuentra disponible
en la MFT, al haber sido, dicha entrada, reemplazada por otra que pertenece,
ahora, al fichero ‘ht_settings.ini’,
de la aplicación Active Disk Editor, a las 15:57:26.
Del mismo modo, se ha creado el fichero ‘512-14~1’,
que ocupa la entrada 93751 en la
MFT.
En lo referente a las marcas
de tiempo, se muestran las fechas originales para el fichero recién creado, por
lo que, con un tiempo de espera de 14000
milisegundos, no se ha generado un efecto túnel.
Crear
un fichero ‘A’ en una carpeta; eliminar el fichero ‘A’; y volver a crear un
fichero ‘A’, en la misma carpeta
·
Crear
un fichero ‘A’, de 512 bytes, con nombre corto
·
Eliminar
el fichero ‘A’
·
Establecer
un tiempo de espera de 14000 milisegundos
·
Volver
a crear un fichero ‘A’, de 512 bytes, con nombre corto, en la misma carpeta
En esta prueba, tal y como
puedes ver en la anterior imagen animada, se creó en el sistema un fichero con
el nombre corto ‘512-14~1’ en la
carpeta ‘Test’, el día 01-06-2020 a las 05:45:26. A este
fichero se le asignó la entrada número 93893
en la MFT.
Después de esperar 300
segundos, se eliminó el fichero con el nombre ‘512-14~1’ y, tras una espera de 14000 milisegundos, se volvió a
crear otro fichero del mismo tamaño, en la misma carpeta, con el nombre corto ‘512-14~1’.
Tal y como puedes comprobar
en los extractos de las tablas anteriores, el fichero ‘512-14~1’, que ocupaba la entrada número 93893 en la MFT, ha sido eliminado y ya no se encuentra disponible
en la MFT, al haber sido, dicha entrada, reemplazada por otra que pertenece,
ahora, al fichero ‘ht_settings.ini’,
de la aplicación Active Disk Editor, a las 05:51:30.
Del mismo modo, se ha creado el fichero ‘512-14~1’,
que ocupa la entrada 93750 en la
MFT.
En lo referente a las marcas
de tiempo, el último fichero creado, que ocupa la entrada número 93750, fue creado el día 01-06-2020 a las 05:50:40. Sin embargo,
tal y como puedes comprobar, al crearlo con el mismo nombre de fichero que el
eliminado anteriormente, adquiere la fecha de creación de ese fichero
eliminado, a las 05:45:26, (en color rojo),
presentando, en las demás marcas de tiempo, la fecha original de creación del
fichero. Esto indica que, en este caso, con
un tiempo de espera de 14000 milisegundos, se ha generado un efecto túnel.
Crear
un fichero ‘A’ en una carpeta; eliminar el fichero ‘A’; y volver a crear un
fichero ‘A’, en la misma carpeta
·
Crear
un fichero ‘A’, de 512 bytes, con nombre corto
·
Eliminar
el fichero ‘A’
·
Establecer
un tiempo de espera de 15000 milisegundos
·
Volver
a crear un fichero ‘A’, de 512 bytes, con nombre corto, en la misma carpeta
En esta prueba, tal y como
puedes ver en la anterior imagen animada, se creó en el sistema un fichero con
el nombre corto ‘512-15~1’ en la
carpeta ‘Test’, el día 02-06-2020 a las 16:00:10. A este
fichero se le asignó la entrada número 93893
en la MFT.
Después de esperar 300 segundos,
se eliminó el fichero con el nombre ‘512-15~1’
y, tras una espera de 15000 milisegundos, se volvió a crear otro fichero del
mismo tamaño, en la misma carpeta, con el nombre corto ‘512-15~1’.
Tal y como puedes comprobar
en los extractos de las tablas anteriores, el fichero ‘512-15~1’, que ocupaba la entrada número 93893 en la MFT, ha sido eliminado y ya no se encuentra disponible
en la MFT, al haber sido, dicha entrada, reemplazada por otra que pertenece,
ahora, al fichero ‘ht_settings.ini’,
de la aplicación Active Disk Editor, a las 16:06:20.
Del mismo modo, se ha creado el fichero ‘512-15~1’,
que ocupa la entrada 93011 en la
MFT.
En lo referente a las marcas
de tiempo, se muestran las fechas originales para el fichero recién creado, por
lo que, con un tiempo de espera de 15000
milisegundos, no se ha generado un efecto túnel.
Crear
un fichero ‘A’ en una carpeta; eliminar el fichero ‘A’; y volver a crear un
fichero ‘A’, en la misma carpeta
·
Crear
un fichero ‘A’, de 512 bytes, con nombre largo
·
Eliminar
el fichero ‘A’
·
Establecer
un tiempo de espera de 14000 milisegundos
·
Volver
a crear un fichero ‘A’, de 4096 bytes, con nombre largo, en la misma carpeta
En esta prueba, tal y como
puedes ver en la anterior imagen animada, se creó en el sistema un fichero con
el nombre largo ‘512_4096_14_Seconds’
en la carpeta ‘Test’, el día 31-05-2020 a las 14:39:16. A este
fichero se le asignó la entrada número 93893
en la MFT.
Después de esperar 300
segundos, se eliminó el fichero con el nombre ‘512_4096_14_Seconds’ y, tras una espera de 14000 milisegundos, se
volvió a crear otro fichero del mismo tamaño, en la misma carpeta, con el
nombre ‘512_4096_14_Seconds’.
Tal y como puedes comprobar
en los extractos de las tablas anteriores, el fichero ‘512_4096_14_Seconds’, que ocupaba la entrada número 93893 en la MFT, ha sido eliminado. Del
mismo modo, se ha creado el fichero ‘512_4096_14_Seconds’,
que ocupa la entrada 92614 en la
MFT.
En lo referente a las marcas
de tiempo, el último fichero creado, que ocupa la entrada número 92614, fue creado el día 31-05-2020 a las 14:44:30. Sin embargo,
tal y como puedes comprobar, al crearlo con el mismo nombre de fichero que el
eliminado anteriormente, adquiere la fecha de creación de ese fichero
eliminado, a las 14:39:16, (en color rojo),
presentando, en las demás marcas de tiempo, la fecha original de creación del
fichero. Esto indica que, en este caso, con
un tiempo de espera de 14000 milisegundos, se ha generado un efecto túnel.
Crear
un fichero ‘A’ en una carpeta; eliminar el fichero ‘A’; y volver a crear un fichero
‘A’, en la misma carpeta
·
Crear
un fichero ‘A’, de 512 bytes, con nombre largo
·
Eliminar
el fichero ‘A’
·
Establecer
un tiempo de espera de 15000 milisegundos
·
Volver
a crear un fichero ‘A’, de 4096 bytes, con nombre largo, en la misma carpeta
En esta prueba, tal y como
puedes ver en la anterior imagen animada, se creó en el sistema un fichero con
el nombre largo ‘512_4096_15_Seconds’
en la carpeta ‘Test’, el día 02-06-2020 a las 15:50:46. A este
fichero se le asignó la entrada número 93893
en la MFT.
Después de esperar 300
segundos, se eliminó el fichero con el nombre ‘512_4096_15_Seconds’ y, tras una espera de 15000 milisegundos, se
volvió a crear otro fichero del mismo tamaño, en la misma carpeta, con el
nombre ‘512_4096_15_Seconds’.
Tal y como puedes comprobar
en los extractos de las tablas anteriores, el fichero ‘512_4096_15_Seconds’, que ocupaba la entrada número 93893 en la MFT, ha sido eliminado y ya
no se encuentra disponible en la MFT, al haber sido, dicha entrada, reemplazada
por otra que pertenece, ahora, al fichero ‘ht_settings.ini’,
de la aplicación Active Disk Editor, a las 15:57:04.
Del mismo modo, se ha creado el fichero ‘512_4096_15_Seconds’,
que ocupa la entrada 93751 en la
MFT.
En lo referente a las marcas
de tiempo, se muestran las fechas originales para el fichero recién creado, por
lo que, con un tiempo de espera de 15000
milisegundos, no se ha generado un efecto túnel.
Crear
un fichero ‘A’ en una carpeta; eliminar el fichero ‘A’; y volver a crear un
fichero ‘A’, en la misma carpeta
·
Crear
un fichero ‘A’, de 4096 bytes, con nombre largo
·
Eliminar
el fichero ‘A’
·
Establecer
un tiempo de espera de 14000 milisegundos
·
Volver
a crear un fichero ‘A’, de 512 bytes, con nombre largo, en la misma carpeta
En esta prueba, tal y como
puedes ver en la anterior imagen animada, se creó en el sistema un fichero con
el nombre largo ‘4096_512_14_Seconds’
en la carpeta ‘Test’, el día 02-06-2020 a las 16:08:23. A este
fichero se le asignó la entrada número 93893
en la MFT.
Después de esperar 300
segundos, se eliminó el fichero con el nombre ‘4096_512_14_Seconds’ y, tras una espera de 14000 milisegundos, se
volvió a crear otro fichero del mismo tamaño, en la misma carpeta, con el
nombre ‘4096_512_14_Seconds’.
Tal y como puedes comprobar
en los extractos de las tablas anteriores, el fichero ‘4096_512_14_Seconds’, que ocupaba la entrada número 93893 en la MFT, ha sido eliminado y ya
no se encuentra disponible en la MFT, al haber sido, dicha entrada, reemplazada
por otra que pertenece, ahora, al fichero ‘ht_settings.ini’,
de la aplicación Active Disk Editor, a las 16:14:48.
Del mismo modo, se ha creado el fichero ‘4096_512_14_Seconds’,
que ocupa la entrada 93750 en la
MFT.
En lo referente a las marcas
de tiempo, el último fichero creado, que ocupa la entrada número 93750, fue creado el día 02-06-2020 a las 16:13:37. Sin embargo,
tal y como puedes comprobar, al crearlo con el mismo nombre de fichero que el
eliminado anteriormente, adquiere la fecha de creación de ese fichero
eliminado, a las 16:08:23, (en color rojo),
presentando, en las demás marcas de tiempo, la fecha original de creación del
fichero. Esto indica que, en este caso, con
un tiempo de espera de 14000 milisegundos, se ha generado un efecto túnel.
Crear
un fichero ‘A’ en una carpeta; eliminar el fichero ‘A’; y volver a crear un
fichero ‘A’, en la misma carpeta
·
Crear
un fichero ‘A’, de 4096 bytes, con nombre largo
·
Eliminar
el fichero ‘A’
·
Establecer
un tiempo de espera de 15000 milisegundos
·
Volver
a crear un fichero ‘A’, de 512 bytes, con nombre largo, en la misma carpeta
En esta prueba, tal y como
puedes ver en la anterior imagen animada, se creó en el sistema un fichero con
el nombre largo ‘4096_512_15_Seconds’ en
la carpeta ‘Test’, el día 02-06-2020 a las 16:16:20. A este
fichero se le asignó la entrada número 93893
en la MFT.
Después de esperar 300
segundos, se eliminó el fichero con el nombre ‘4096_512_15_Seconds’ y, tras una espera de 15000 milisegundos, se
volvió a crear otro fichero del mismo tamaño, en la misma carpeta, con el
nombre ‘4096_512_15_Seconds’.
Tal y como puedes comprobar
en los extractos de las tablas anteriores, el fichero ‘4096_512_15_Seconds’, que ocupaba la entrada número 93893 en la MFT, ha sido eliminado y ya
no se encuentra disponible en la MFT, al haber sido, dicha entrada, reemplazada
por otra que pertenece, ahora, al fichero ‘ht_settings.ini’,
de la aplicación Active Disk Editor, a las 16:22:32.
Del mismo modo, se ha creado el fichero ‘4096_512_15_Seconds’,
que ocupa la entrada 93751 en la
MFT.
En lo referente a las marcas
de tiempo, se muestran las fechas originales para el fichero recién creado, por
lo que, con un tiempo de espera de 15000
milisegundos, no se ha generado un efecto túnel.
CMC
Crear
un fichero ‘A’ en una carpeta; mover el fichero ‘A’ a otra carpeta; y volver a
crear un fichero ‘A’, en la misma carpeta original
·
Crear
un fichero ‘A’, de 512 bytes, con nombre largo
·
mover
el fichero ‘A’ a otra carpeta
·
Establecer
un tiempo de espera de 14000 milisegundos
·
Volver
a crear un fichero ‘A’, de 512 bytes, con nombre largo, en la misma carpeta
original de creación
En esta prueba, tal y como
puedes ver en la anterior imagen animada, se creó en el sistema un fichero con
el nombre largo ‘512-14-LFN’ en la
carpeta ‘Test’, el día 30-05-2020 a las 06:41:18. A este
fichero se le asignó la entrada número 93893
en la MFT.
Después de esperar 300
segundos, se movió el fichero con el nombre ‘512-14-LFN’ a la carpeta ‘Moved’
y, tras una espera de 14000 milisegundos, se volvió a crear otro fichero del
mismo tamaño, en la misma carpeta, con el nombre ‘512-14-LFN’.
Tal y como puedes comprobar
en los extractos de las tablas anteriores, el fichero ‘512-14-LFN’, que ocupaba la entrada número 93893 en la MFT, ha sido movido. Del mismo modo, se ha creado el
fichero ‘512-14-LFN’, que ocupa la
entrada 93011 en la MFT.
En lo referente a las marcas
de tiempo, el último fichero creado, que ocupa la entrada número 93011, fue creado el día 30-05-2020 a las 06:46:33. Sin embargo,
tal y como puedes comprobar, al crearlo con el mismo nombre de fichero que el movido
anteriormente, adquiere la fecha de creación de ese fichero movido, a las 06:41:18, (en color rojo), presentando, en las
demás marcas de tiempo, la fecha original de creación del fichero. Esto indica
que, en este caso, con un tiempo de
espera de 14000 milisegundos, se ha generado un efecto túnel.
Crear
un fichero ‘A’ en una carpeta; mover el fichero ‘A’ a otra carpeta; y volver a
crear un fichero ‘A’, en la misma carpeta original
·
Crear
un fichero ‘A’, de 512 bytes, con nombre largo
·
mover
el fichero ‘A’ a otra carpeta
·
Establecer
un tiempo de espera de 15000 milisegundos
·
Volver
a crear un fichero ‘A’, de 512 bytes, con nombre largo, en la misma carpeta
original de creación
En esta prueba, tal y como
puedes ver en la anterior imagen animada, se creó en el sistema un fichero con
el nombre largo ‘512-15-LFN’ en la
carpeta ‘Test’, el día 01-06-2020 a las 10:53:41. A este
fichero se le asignó la entrada número 93893
en la MFT.
Después de esperar 300
segundos, se movió el fichero con el nombre ‘512-15-LFN’ a la carpeta ‘Moved’
y, tras una espera de 15000 milisegundos, se volvió a crear otro fichero del
mismo tamaño, en la misma carpeta, con el nombre ‘512-15-LFN’.
Tal y como puedes comprobar
en los extractos de las tablas anteriores, el fichero ‘512-15-LFN’, que ocupaba la entrada número 93893 en la MFT, ha sido movido. Del mismo modo, se ha creado el
fichero ‘512-15-LFN’, que ocupa la
entrada 92614 en la MFT.
En lo referente a las marcas
de tiempo, se muestran las fechas originales para el fichero recién creado, por
lo que, con un tiempo de espera de 15000
milisegundos, no se ha generado un efecto túnel.
Crear
un fichero ‘A’ en una carpeta; mover el fichero ‘A’ a otra carpeta; y volver a
crear un fichero ‘A’, en la misma carpeta original
·
Crear
un fichero ‘A’, de 512 bytes, con nombre largo
·
mover
el fichero ‘A’ a otra carpeta
·
Establecer
un tiempo de espera de 14000 milisegundos
·
Volver
a crear un fichero ‘A’, de 512 bytes, con nombre corto, en la misma carpeta
original de creación
En esta prueba, tal y como
puedes ver en la anterior imagen animada, se creó en el sistema un fichero con
el nombre largo ‘512-14-LFN’ en la
carpeta ‘Test’, el día 31-05-2020 a las 05:35:37. A este
fichero se le asignó la entrada número 93893
en la MFT.
Después de esperar 300
segundos, se movió el fichero con el nombre ‘512-14-LFN’ a la carpeta ‘Moved’
y, tras una espera de 14000 milisegundos, se volvió a crear otro fichero del
mismo tamaño, en la misma carpeta, con el nombre corto ‘512-14~1’.
Tal y como puedes comprobar
en los extractos de las tablas anteriores, el fichero ‘512-14-LFN’, que ocupaba la entrada número 93893 en la MFT, ha sido movido. Del mismo modo, se ha creado el
fichero ‘512-14~1’, que ocupa la
entrada 93751 en la MFT.
En lo referente a las marcas
de tiempo, se muestran las fechas originales para el fichero recién creado, por
lo que, con un tiempo de espera de 14000
milisegundos, no se ha generado un efecto túnel.
Crear
un fichero ‘A’ en una carpeta; mover el fichero ‘A’ a otra carpeta; y volver a
crear un fichero ‘A’, en la misma carpeta original
·
Crear
un fichero ‘A’, de 512 bytes, con nombre largo
·
mover
el fichero ‘A’ a otra carpeta
·
Establecer
un tiempo de espera de 14000 milisegundos
·
Volver
a crear un fichero ‘A’, de 512 bytes, con nombre corto, en la misma carpeta
original de creación
En esta prueba, tal y como
puedes ver en la anterior imagen animada, se creó en el sistema un fichero con
el nombre corto ‘512-14~1’ en la
carpeta ‘Test’, el día 01-06-2020 a las 05:53:16. A este
fichero se le asignó la entrada número 93893
en la MFT.
Después de esperar 300
segundos, se movió el fichero con el nombre ‘512-14~1’ a la carpeta ‘Moved’
y, tras una espera de 14000 milisegundos, se volvió a crear otro fichero del
mismo tamaño, en la misma carpeta, con el nombre corto ‘512-14~1’.
Tal y como puedes comprobar
en los extractos de las tablas anteriores, el fichero ‘512-14~1’, que ocupaba la entrada número 93893 en la MFT, ha sido movido. Del mismo modo, se ha creado el
fichero ‘512-14~1’, que ocupa la
entrada 93751 en la MFT.
En lo referente a las marcas
de tiempo, el último fichero creado, que ocupa la entrada número 93751, fue creado el día 01-06-2020 a las 05:58:30. Sin embargo,
tal y como puedes comprobar, al crearlo con el mismo nombre de fichero que el
movido anteriormente, adquiere la fecha de creación de ese fichero movido, a
las 05:53:16, (en color rojo), presentando, en las
demás marcas de tiempo, la fecha original de creación del fichero. Esto indica
que, en este caso, con un tiempo de
espera de 14000 milisegundos, se ha generado un efecto túnel.
Crear
un fichero ‘A’ en una carpeta; mover el fichero ‘A’ a otra carpeta; y volver a
crear un fichero ‘A’, en la misma carpeta original
·
Crear
un fichero ‘A’, de 512 bytes, con nombre corto
·
mover
el fichero ‘A’ a otra carpeta
·
Establecer
un tiempo de espera de 15000 milisegundos
·
Volver
a crear un fichero ‘A’, de 512 bytes, con nombre corto, en la misma carpeta
original de creación
En esta prueba, tal y como
puedes ver en la anterior imagen animada, se creó en el sistema un fichero con
el nombre corto ‘512-15~1’ en la
carpeta ‘Test’, el día 02-06-2020 a las 16:52:09. A este
fichero se le asignó la entrada número 93893
en la MFT.
Después de esperar 300
segundos, se movió el fichero con el nombre ‘512-15~1’ a la carpeta ‘Moved’
y, tras una espera de 15000 milisegundos, se volvió a crear otro fichero del
mismo tamaño, en la misma carpeta, con el nombre corto ‘512-15~1’.
Tal y como puedes comprobar
en los extractos de las tablas anteriores, el fichero ‘512-15~1’, que ocupaba la entrada número 93893 en la MFT, ha sido movido. Del mismo modo, se ha creado el
fichero ‘512-15~1’, que ocupa la
entrada 93750 en la MFT.
En lo referente a las marcas
de tiempo, se muestran las fechas originales para el fichero recién creado, por
lo que, con un tiempo de espera de 15000
milisegundos, no se ha generado un efecto túnel.
Crear
un fichero ‘A’ en una carpeta; mover el fichero ‘A’ a otra carpeta; y volver a
crear un fichero ‘A’, en la misma carpeta original
·
Crear
un fichero ‘A’, de 512 bytes, con nombre largo
·
mover
el fichero ‘A’ a otra carpeta
·
Establecer
un tiempo de espera de 14000 milisegundos
·
Volver
a crear un fichero ‘A’, de 4096 bytes, con nombre largo, en la misma carpeta
original de creación
En esta prueba, tal y como
puedes ver en la anterior imagen animada, se creó en el sistema un fichero con
el nombre largo ‘512_4096_14_Seconds’
en la carpeta ‘Test’, el día 31-05-2020 a las 18:06:41. A este
fichero se le asignó la entrada número 93893
en la MFT.
Después de esperar 300
segundos, se movió el fichero con el nombre ‘512_4096_14_Seconds’ a la carpeta ‘Moved’ y, tras una espera de 14000 milisegundos, se volvió a crear
otro fichero del mismo tamaño, en la misma carpeta, con el nombre largo ‘512_4096_14_Seconds’.
Tal y como puedes comprobar
en los extractos de las tablas anteriores, el fichero ‘512_4096_14_Seconds’, que ocupaba la entrada número 93893 en la MFT, ha sido movido. Del
mismo modo, se ha creado el fichero ‘512_4096_14_Seconds’,
que ocupa la entrada 93750 en la
MFT.
En lo referente a las marcas
de tiempo, el último fichero creado, que ocupa la entrada número 93750, fue creado el día 31-05-2020 a las 18:11:55. Sin embargo,
tal y como puedes comprobar, al crearlo con el mismo nombre de fichero que el
movido anteriormente, adquiere la fecha de creación de ese fichero movido, a
las 18:06:41, (en color rojo), presentando, en las
demás marcas de tiempo, la fecha original de creación del fichero. Esto indica
que, en este caso, con un tiempo de
espera de 14000 milisegundos, se ha generado un efecto túnel.
Crear
un fichero ‘A’ en una carpeta; mover el fichero ‘A’ a otra carpeta; y volver a
crear un fichero ‘A’, en la misma carpeta original
·
Crear
un fichero ‘A’, de 512 bytes, con nombre largo
·
mover
el fichero ‘A’ a otra carpeta
·
Establecer
un tiempo de espera de 15000 milisegundos
·
Volver
a crear un fichero ‘A’, de 4096 bytes, con nombre largo, en la misma carpeta
original de creación
En esta prueba, tal y como
puedes ver en la anterior imagen animada, se creó en el sistema un fichero con
el nombre largo ‘512_4096_15_Seconds’
en la carpeta ‘Test’, el día 02-06-2020 a las 16:43:24. A este
fichero se le asignó la entrada número 93893
en la MFT.
Después de esperar 300
segundos, se movió el fichero con el nombre ‘512_4096_15_Seconds’ a la carpeta ‘Moved’ y, tras una espera de 15000 milisegundos, se volvió a crear
otro fichero del mismo tamaño, en la misma carpeta, con el nombre corto ‘512_4096_15_Seconds’.
Tal y como puedes comprobar
en los extractos de las tablas anteriores, el fichero ‘512_4096_15_Seconds’, que ocupaba la entrada número 93893 en la MFT, ha sido movido. Del
mismo modo, se ha creado el fichero ‘512_4096_15_Seconds’,
que ocupa la entrada 93751 en la
MFT.
En lo referente a las marcas
de tiempo, se muestran las fechas originales para el fichero recién creado, por
lo que, con un tiempo de espera de 15000
milisegundos, no se ha generado un efecto túnel.
Crear
un fichero ‘A’ en una carpeta; mover el fichero ‘A’ a otra carpeta; y volver a
crear un fichero ‘A’, en la misma carpeta original
·
Crear
un fichero ‘A’, de 4096 bytes, con nombre largo
·
mover
el fichero ‘A’ a otra carpeta
·
Establecer
un tiempo de espera de 14000 milisegundos
·
Volver
a crear un fichero ‘A’, de 512 bytes, con nombre largo, en la misma carpeta
original de creación
En esta prueba, tal y como
puedes ver en la anterior imagen animada, se creó en el sistema un fichero con
el nombre largo ‘4096_512_14_Seconds’
en la carpeta ‘Test’, el día 02-06-2020 a las 17:00:12. A este
fichero se le asignó la entrada número 93893
en la MFT.
Después de esperar 300
segundos, se movió el fichero con el nombre ‘4096_512_14_Seconds’ a la carpeta ‘Moved’ y, tras una espera de 14000 milisegundos, se volvió a crear
otro fichero del mismo tamaño, en la misma carpeta, con el nombre largo ‘4096_512_14_Seconds’.
Tal y como puedes comprobar
en los extractos de las tablas anteriores, el fichero ‘4096_512_14_Seconds’, que ocupaba la entrada número 93893 en la MFT, ha sido movido. Del
mismo modo, se ha creado el fichero ‘4096_512_14_Seconds’,
que ocupa la entrada 93751 en la
MFT.
En lo referente a las marcas
de tiempo, el último fichero creado, que ocupa la entrada número 93751, fue creado el día 02-06-2020 a las 17:05:26. Sin embargo,
tal y como puedes comprobar, al crearlo con el mismo nombre de fichero que el
movido anteriormente, adquiere la fecha de creación de ese fichero movido, a
las 17:00:12, (en color rojo), presentando, en las
demás marcas de tiempo, la fecha original de creación del fichero. Esto indica
que, en este caso, con un tiempo de
espera de 14000 milisegundos, se ha generado un efecto túnel.
Crear
un fichero ‘A’ en una carpeta; mover el fichero ‘A’ a otra carpeta; y volver a
crear un fichero ‘A’, en la misma carpeta original
·
Crear
un fichero ‘A’, de 4096 bytes, con nombre largo
·
mover
el fichero ‘A’ a otra carpeta
·
Establecer
un tiempo de espera de 15000 milisegundos
·
Volver
a crear un fichero ‘A’, de 512 bytes, con nombre largo, en la misma carpeta
original de creación
En esta prueba, tal y como
puedes ver en la anterior imagen animada, se creó en el sistema un fichero con
el nombre largo ‘4096_512_15_Seconds’ en
la carpeta ‘Test’, el día 02-06-2020 a las 17:09:15. A este
fichero se le asignó la entrada número 93893
en la MFT.
Después de esperar 300
segundos, se movió el fichero con el nombre ‘4096_512_15_Seconds’ a la carpeta ‘Moved’ y, tras una espera de 15000 milisegundos, se volvió a crear
otro fichero del mismo tamaño, en la misma carpeta, con el nombre corto ‘4096_512_15_Seconds’.
Tal y como puedes comprobar
en los extractos de las tablas anteriores, el fichero ‘4096_512_15_Seconds’, que ocupaba la entrada número 93893 en la MFT, ha sido movido. Del
mismo modo, se ha creado el fichero ‘4096_512_15_Seconds’,
que ocupa la entrada 93750 en la
MFT.
En lo referente a las marcas
de tiempo, se muestran las fechas originales para el fichero recién creado, por
lo que, con un tiempo de espera de 15000
milisegundos, no se ha generado un efecto túnel.
CRC
Crear
un fichero ‘A’ en una carpeta; renombrar el fichero ‘A’; y volver a crear un
fichero ‘A’, en la misma carpeta original
·
Crear
un fichero ‘A’, de 512 bytes, con nombre largo
·
renombrar
el fichero ‘A’
·
Establecer
un tiempo de espera de 14000 milisegundos
·
Volver
a crear un fichero ‘A’, de 512 bytes, con nombre largo, en la misma carpeta
original de creación
En esta prueba, tal y como
puedes ver en la anterior imagen animada, se creó en el sistema un fichero con
el nombre largo ‘512-14-LFN’ en la
carpeta ‘Test’, el día 30-05-2020 a las 11:15:16. A este
fichero se le asignó la entrada número 93893
en la MFT.
Después de esperar 300
segundos, se renombró el fichero con el nombre ‘512-14-LFN’ y, tras una espera de 14000 milisegundos, se volvió a
crear otro fichero del mismo tamaño, en la misma carpeta, con el nombre ‘512-14-LFN’.
Tal y como puedes comprobar
en los extractos de las tablas anteriores, el fichero ‘512-14-LFN’, que ocupaba la entrada número 93893 en la MFT, ha sido renombrado a ‘New_512-14-LFN’. Del mismo modo, se ha creado el fichero ‘512-14-LFN’, que ocupa la entrada 92614 en la MFT.
En lo referente a las marcas
de tiempo, el último fichero creado, que ocupa la entrada número 92614, fue creado el día 30-05-2020 a las 11:20:30. Sin embargo,
tal y como puedes comprobar, al crearlo con el mismo nombre de fichero que renombrado
anteriormente, adquiere la fecha de creación de ese fichero renombrado, a las 11:15:16, (en color rojo), presentando, en las
demás marcas de tiempo, la fecha original de creación del fichero. Esto indica
que, en este caso, con un tiempo de
espera de 14000 milisegundos, se ha generado un efecto túnel.
Crear
un fichero ‘A’ en una carpeta; renombrar el fichero ‘A’; y volver a crear un
fichero ‘A’, en la misma carpeta original
·
Crear
un fichero ‘A’, de 512 bytes, con nombre largo
·
renombrar
el fichero ‘A’
·
Establecer
un tiempo de espera de 15000 milisegundos
·
Volver
a crear un fichero ‘A’, de 512 bytes, con nombre largo, en la misma carpeta
original de creación
En esta prueba, tal y como
puedes ver en la anterior imagen animada, se creó en el sistema un fichero con
el nombre largo ‘512-15-LFN’ en la
carpeta ‘Test’, el día 01-06-2020 a las 11:03:37. A este
fichero se le asignó la entrada número 93893
en la MFT.
Después de esperar 300
segundos, se renombró el fichero con el nombre ‘512-15-LFN’ y, tras una espera de 15000 milisegundos, se volvió a
crear otro fichero del mismo tamaño, en la misma carpeta, con el nombre ‘512-15-LFN’.
Tal y como puedes comprobar
en los extractos de las tablas anteriores, el fichero ‘512-15-LFN’, que ocupaba la entrada número 93893 en la MFT, ha sido renombrado a ‘New_512-15-LFN’. Del mismo modo, se ha creado el fichero ‘512-15-LFN’, que ocupa la entrada 92614 en la MFT.
En lo referente a las marcas
de tiempo, se muestran las fechas originales para el fichero recién creado, por
lo que, con un tiempo de espera de 15000
milisegundos, no se ha generado un efecto túnel.
Crear
un fichero ‘A’ en una carpeta; renombrar el fichero ‘A’; y volver a crear un
fichero ‘A’, en la misma carpeta original
·
Crear
un fichero ‘A’, de 512 bytes, con nombre largo
·
renombrar
el fichero ‘A’
·
Establecer
un tiempo de espera de 14000 milisegundos
·
Volver
a crear un fichero ‘A’, de 512 bytes, con nombre corto, en la misma carpeta
original de creación
En esta prueba, tal y como
puedes ver en la anterior imagen animada, se creó en el sistema un fichero con
el nombre largo ‘512-14-LFN’ en la
carpeta ‘Test’, el día 31-05-2020 a las 05:44:22. A este
fichero se le asignó la entrada número 93893
en la MFT.
Después de esperar 300
segundos, se renombró el fichero con el nombre ‘512-14-LFN’ y, tras una espera de 14000 milisegundos, se volvió a
crear otro fichero del mismo tamaño, en la misma carpeta, con el nombre ‘512-14~1’.
Tal y como puedes comprobar
en los extractos de las tablas anteriores, el fichero ‘512-15-LFN’, que ocupaba la entrada número 93893 en la MFT, ha sido renombrado a ‘New_512-14-LFN’. Del mismo modo, se ha creado el fichero ‘512-14~1’, que ocupa la entrada 93750 en la MFT.
En lo referente a las marcas
de tiempo, se muestran las fechas originales para el fichero recién creado, por
lo que, con un tiempo de espera de 14000
milisegundos, no se ha generado un efecto túnel.
Crear
un fichero ‘A’ en una carpeta; renombrar el fichero ‘A’; y volver a crear un
fichero ‘A’, en la misma carpeta original
·
Crear
un fichero ‘A’, de 512 bytes, con nombre corto
·
renombrar
el fichero ‘A’
·
Establecer
un tiempo de espera de 14000 milisegundos
·
Volver
a crear un fichero ‘A’, de 512 bytes, con nombre corto, en la misma carpeta
original de creación
En esta prueba, tal y como
puedes ver en la anterior imagen animada, se creó en el sistema un fichero con
el nombre corto ‘512-14~1’ en la
carpeta ‘Test’, el día 01-06-2020 a las 06:02:39. A este
fichero se le asignó la entrada número 93893
en la MFT.
Después de esperar 300
segundos, se renombró el fichero con el nombre ‘512-14~1’ y, tras una espera de 14000 milisegundos, se volvió a
crear otro fichero del mismo tamaño, en la misma carpeta, con el nombre ‘512-14~1’.
Tal y como puedes comprobar
en los extractos de las tablas anteriores, el fichero ‘512-14~1’, que ocupaba la entrada número 93893 en la MFT, ha sido renombrado a ‘N51214LFN’. Del mismo modo, se ha creado el fichero ‘512-14~1’, que ocupa la entrada 92614 en la MFT.
En lo referente a las marcas
de tiempo, el último fichero creado, que ocupa la entrada número 92614, fue creado el día 01-06-2020 a las 06:07:53. Sin embargo,
tal y como puedes comprobar, al crearlo con el mismo nombre de fichero que
renombrado anteriormente, adquiere la fecha de creación de ese fichero
renombrado, a las 06:02:39, (en color rojo),
presentando, en las demás marcas de tiempo, la fecha original de creación del
fichero. Esto indica que, en este caso, con
un tiempo de espera de 14000 milisegundos, se ha generado un efecto túnel.
Crear
un fichero ‘A’ en una carpeta; renombrar el fichero ‘A’; y volver a crear un
fichero ‘A’, en la misma carpeta original
·
Crear
un fichero ‘A’, de 512 bytes, con nombre corto
·
renombrar
el fichero ‘A’
·
Establecer
un tiempo de espera de 15000 milisegundos
·
Volver
a crear un fichero ‘A’, de 512 bytes, con nombre corto, en la misma carpeta
original de creación
En esta prueba, tal y como
puedes ver en la anterior imagen animada, se creó en el sistema un fichero con
el nombre corto ‘512-15~1’ en la
carpeta ‘Test’, el día 04-06-2020 a las 11:33:33. A este
fichero se le asignó la entrada número 93893
en la MFT.
Después de esperar 300
segundos, se renombró el fichero con el nombre ‘512-15~1’ y, tras una espera de 15000 milisegundos, se volvió a
crear otro fichero del mismo tamaño, en la misma carpeta, con el nombre ‘512-15~1’.
Tal y como puedes comprobar
en los extractos de las tablas anteriores, el fichero ‘512-15~1’, que ocupaba la entrada número 93893 en la MFT, ha sido renombrado a ‘N51215LFN’. Del mismo modo, se ha creado el fichero ‘512-15~1’, que ocupa la entrada 93750 en la MFT.
En lo referente a las marcas
de tiempo, se muestran las fechas originales para el fichero recién creado, por
lo que, con un tiempo de espera de 15000
milisegundos, no se ha generado un efecto túnel.
Crear
un fichero ‘A’ en una carpeta; renombrar el fichero ‘A’; y volver a crear un
fichero ‘A’, en la misma carpeta original
·
Crear
un fichero ‘A’, de 512 bytes, con nombre largo
·
renombrar
el fichero ‘A’
·
Establecer
un tiempo de espera de 14000 milisegundos
·
Volver
a crear un fichero ‘A’, de 4096 bytes, con nombre largo, en la misma carpeta
original de creación
En esta prueba, tal y como
puedes ver en la anterior imagen animada, se creó en el sistema un fichero con
el nombre largo ‘512_4096_14_Seconds’
en la carpeta ‘Test’, el día 31-05-2020 a las 14:58:26. A este
fichero se le asignó la entrada número 93893
en la MFT.
Después de esperar 300
segundos, se renombró el fichero con el nombre ‘512_4096_14_Seconds’ y, tras una espera de 14000 milisegundos, se
volvió a crear otro fichero del mismo tamaño, en la misma carpeta, con el
nombre ‘512_4096_14_Seconds’.
Tal y como puedes comprobar
en los extractos de las tablas anteriores, el fichero ‘512_4096_14_Seconds’, que ocupaba la entrada número 93893 en la MFT, ha sido renombrado a ‘New_512_4096_14_Seconds’. Del mismo
modo, se ha creado el fichero ‘512_4096_14_Seconds’,
que ocupa la entrada 92614 en la
MFT.
En lo referente a las marcas
de tiempo, el último fichero creado, que ocupa la entrada número 92614, fue creado el día 31-05-2020 a las 15:03:40. Sin embargo,
tal y como puedes comprobar, al crearlo con el mismo nombre de fichero que
renombrado anteriormente, adquiere la fecha de creación de ese fichero
renombrado, a las 14:58:26, (en color rojo),
presentando, en las demás marcas de tiempo, la fecha original de creación del
fichero. Esto indica que, en este caso, con
un tiempo de espera de 14000 milisegundos, se ha generado un efecto túnel.
Crear
un fichero ‘A’ en una carpeta; renombrar el fichero ‘A’; y volver a crear un
fichero ‘A’, en la misma carpeta original
·
Crear
un fichero ‘A’, de 512 bytes, con nombre largo
·
renombrar
el fichero ‘A’
·
Establecer
un tiempo de espera de 14000 milisegundos
·
Volver
a crear un fichero ‘A’, de 4096 bytes, con nombre largo, en la misma carpeta
original de creación
En esta prueba, tal y como
puedes ver en la anterior imagen animada, se creó en el sistema un fichero con
el nombre largo ‘512_4096_15_Seconds’
en la carpeta ‘Test’, el día 04-06-2020 a las 10:25:28. A este
fichero se le asignó la entrada número 93893
en la MFT.
Después de esperar 300
segundos, se renombró el fichero con el nombre ‘512_4096_15_Seconds’ y, tras una espera de 15000 milisegundos, se
volvió a crear otro fichero del mismo tamaño, en la misma carpeta, con el
nombre ‘512_4096_15_Seconds’.
Tal y como puedes comprobar
en los extractos de las tablas anteriores, el fichero ‘512_4096_15_Seconds’, que ocupaba la entrada número 93893 en la MFT, ha sido renombrado a ‘New_512_4096_15_Seconds’. Del mismo
modo, se ha creado el fichero ‘512_4096_15_Seconds’,
que ocupa la entrada 92614 en la
MFT.
En lo referente a las marcas
de tiempo, se muestran las fechas originales para el fichero recién creado, por
lo que, con un tiempo de espera de 15000
milisegundos, no se ha generado un efecto túnel.
Crear
un fichero ‘A’ en una carpeta; renombrar el fichero ‘A’; y volver a crear un
fichero ‘A’, en la misma carpeta original
·
Crear
un fichero ‘A’, de 4096 bytes, con nombre largo
·
renombrar
el fichero ‘A’
·
Establecer
un tiempo de espera de 14000 milisegundos
·
Volver
a crear un fichero ‘A’, de 512 bytes, con nombre largo, en la misma carpeta
original de creación
En esta prueba, tal y como
puedes ver en la anterior imagen animada, se creó en el sistema un fichero con
el nombre largo ‘4096_512_14_Seconds’
en la carpeta ‘Test’, el día 04-06-2020 a las 17:39:51. A este
fichero se le asignó la entrada número 93893
en la MFT.
Después de esperar 300
segundos, se renombró el fichero con el nombre ‘4096_512_14_Seconds’ y, tras una espera de 14000 milisegundos, se
volvió a crear otro fichero del mismo tamaño, en la misma carpeta, con el
nombre ‘4096_512_14_Seconds’.
Tal y como puedes comprobar
en los extractos de las tablas anteriores, el fichero ‘4096_512_14_Seconds’, que ocupaba la entrada número 93893 en la MFT, ha sido renombrado a ‘New_4096_512_14_Seconds’. Del mismo
modo, se ha creado el fichero ‘4096_512_14_Seconds’,
que ocupa la entrada 93750 en la
MFT.
En lo referente a las marcas
de tiempo, el último fichero creado, que ocupa la entrada número 93750, fue creado el día 04-06-2020 a las 17:45:05. Sin embargo,
tal y como puedes comprobar, al crearlo con el mismo nombre de fichero que
renombrado anteriormente, adquiere la fecha de creación de ese fichero renombrado,
a las 17:39:51, (en color rojo),
presentando, en las demás marcas de tiempo, la fecha original de creación del
fichero. Esto indica que, en este caso, con
un tiempo de espera de 14000 milisegundos, se ha generado un efecto túnel.
Crear
un fichero ‘A’ en una carpeta; renombrar el fichero ‘A’; y volver a crear un
fichero ‘A’, en la misma carpeta original
·
Crear
un fichero ‘A’, de 4096 bytes, con nombre largo
·
renombrar
el fichero ‘A’
·
Establecer
un tiempo de espera de 15000 milisegundos
·
Volver
a crear un fichero ‘A’, de 512 bytes, con nombre largo, en la misma carpeta
original de creación
En esta prueba, tal y como
puedes ver en la anterior imagen animada, se creó en el sistema un fichero con
el nombre largo ‘4096_512_15_Seconds’ en
la carpeta ‘Test’, el día 03-06-2020 a las 07:50:58. A este
fichero se le asignó la entrada número 93893
en la MFT.
Después de esperar 300
segundos, se renombró el fichero con el nombre ‘4096_512_15_Seconds’ y, tras una espera de 15000 milisegundos, se
volvió a crear otro fichero del mismo tamaño, en la misma carpeta, con el
nombre ‘4096_512_15_Seconds’.
Tal y como puedes comprobar
en los extractos de las tablas anteriores, el fichero ‘4096_512_15_Seconds’, que ocupaba la entrada número 93893 en la MFT, ha sido renombrado a ‘New_4096_512_15_Seconds’. Del mismo
modo, se ha creado el fichero ‘4096_512_15_Seconds’,
que ocupa la entrada 93750 en la
MFT.
En lo referente a las marcas
de tiempo, se muestran las fechas originales para el fichero recién creado, por
lo que, con un tiempo de espera de 15000
milisegundos, no se ha generado un efecto túnel.
Deshabilitando
la tunelización del sistema de archivos
Como decía al comienzo del artículo, se
puede deshabilitar la tunelización del sistema de archivos. Para ello, se debe
añadir la clave “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem\MaximumTunnelEntries”, en el Registro de Windows, establecer un valor de ‘0’, y reiniciar el sistema
para que se aplique la nueva configuración.
Una vez aplicada esta
configuración, si, ahora ejecutamos cualquiera de las acciones vistas
anteriormente, obtendremos como resultado que en ningún caso se genera un
efecto túnel.
A modo de ejemplo, expondré
a continuación una única prueba, con un tiempo de espera de 10000 milisegundos,
en lugar de los 14000 vistos hasta ahora.
CCRR
Crear
un fichero ‘A’ en una carpeta; crear un fichero ‘B’, en la misma carpeta; renombrar
el fichero ‘A’ como ‘C’; y renombrar el fichero ‘B’ como ‘A’
·
Crear
un fichero ‘A’, de 512 bytes, con nombre largo
·
Crear
un fichero ‘B’, de 512 bytes, con nombre largo
·
Renombrar
el fichero ‘A’ como ‘C’
·
Establecer
un tiempo de espera de 10000 milisegundos
·
Renombrar
el fichero ‘B’ a ‘A’
En esta prueba, tal y como
puedes ver en la anterior imagen animada, se creó en el sistema un fichero con
el nombre largo ‘512-15-LFN01’ en la
carpeta ‘Test’, el día 06-06-2020 a las 15:28:08. A este fichero
se le asignó la entrada número 93893
en la MFT. Tras esperar 10 segundos, se creó un segundo fichero con el nombre
largo ‘512-15-LFN02’, en la misma
carpeta, a las 15:28:18. A este
segundo fichero se le asignó la entrada número 94050 en la MFT.
Después de esperar 300
segundos, se renombró el fichero con el nombre ‘512-15-LFN01’ a ‘512-15-LFN03’
y, tras una espera de 10000 milisegundos, se renombró el fichero ‘512-15-LFN02’ a ‘512-15-LFN01’.
Tal y como puedes comprobar
en los extractos de las tablas anteriores, el fichero ‘512-15-LFN01’, que ocupa la entrada número 93893 en la MFT, ha sido renombrado y sigue ocupando la misma
entrada y, el fichero ‘512-15-LFN02’,
que ocupa la entrada 94050 en la
MFT, ahora ha pasado a denominarse ‘512-15-LFN01’.
En lo referente a las marcas
de tiempo, en ambos casos se muestran las fechas originales para cada uno de
los dos ficheros, por lo que, con un
tiempo de espera de 10000 milisegundos, no se ha generado un efecto túnel.
Sobrescribiendo
ficheros, con la tunelización del sistema de archivos deshabilitada
Al efectuar las pruebas
pertinentes con la tunelización del sistema de archivos deshabilitada, me topé
con otra prueba inesperada, puesto que no la tenía en mente. Consiste en
sobrescribir un fichero con otro, de mismo nombre. Así, pues, lo que hice fue
ejecutar una primera prueba de tunelización y, una vez terminada, volver a
ejecutar la misma prueba para que se sobrescribiera el fichero generado, al
objeto de observar su comportamiento.
CDCC
Crear
un fichero ‘A’ en una carpeta; eliminar el fichero ‘A’; y volver a crear un
fichero ‘A’, en la misma carpeta
·
Crear
un fichero ‘A’, de 512 bytes, con nombre largo
·
Eliminar
el fichero ‘A’
·
Establecer
un tiempo de espera de 14000 milisegundos
·
Volver
a crear un fichero ‘A’, de 512 bytes, con nombre largo, en la misma carpeta
·
Volver
a crear un fichero ‘A’, de 512 bytes, con nombre largo, en la misma carpeta,
sobrescribiendo el anterior
En esta prueba, tal y como
puedes ver en la anterior imagen animada, se creó en el sistema un fichero con
el nombre largo ‘512-14-LFN’ en la
carpeta ‘Test’, el día 06-06-2020 a las 15:03:08. A este
fichero se le asignó la entrada número 4203
en la MFT.
Después de esperar 300
segundos, se eliminó el fichero con el nombre ‘512-14-LFN’ y, tras una espera de 14000 milisegundos, se volvió a
crear otro fichero del mismo tamaño, en la misma carpeta, con el nombre ‘512-14-LFN’.
Tal y como puedes comprobar
en los extractos de las tablas anteriores, el fichero ‘512-14-LFN’, que ocupaba en la primera creación del fichero, la
entrada número 4203 en la MFT, sigue
ocupando la misma entrada, con el mismo nombre de fichero.
En lo referente a las marcas
de tiempo, el fichero eliminado ‘512-14-LFN’
fue creado el día 06-06-2020 a las
15:03:08, volviendo a crear un fichero con el mismo nombre ‘512-14-LFN’, tras un tiempo de espera
de 14000 milisegundos, el día 06-06-2020
a las 15:08:18, presentándose correctamente la marca de tiempo de creación
de dicho fichero. Esto indica que, en este caso, con un tiempo de espera de 14000 milisegundos, no se ha generado un
efecto túnel.
Vuelvo a crear otro fichero
con el mismo nombre de ‘512-14-LFN’
para sobrescribir el existente.
Tal y como puedes comprobar
en los extractos de las tablas anteriores, el fichero ‘512-14-LFN’ que ha sido generado para sobrescribir el fichero
anterior, presenta en su fecha de creación el día 06-06-2020 a las 15:08:18, (en color rojo), siendo, su fecha correcta de
creación, el día 06-06-2020 a las
15:11:26. Esto indica que, en este caso, a pesar de encontrarse la
tunelización del sistema de archivos deshabilitada, el nuevo que sobrescribe a
otro hereda la fecha de creación del
fichero sobrescrito.
Estableciendo
un tiempo determinado en la tunelización del sistema de archivos
Como decía, también, al comienzo del
artículo, igual que se puede deshabilitar la tunelización del sistema de
archivos, se puede establecer un tiempo determinado en segundos para que se
genere ese efecto túnel. Para ello, se debe añadir la clave “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem\MaximumTunnelEntryAgeInSeconds”, en el Registro de Windows, establecer un valor numérico en segundos, y reiniciar
el sistema para que se aplique la nueva configuración.
Una vez aplicada esta
configuración, si, ahora ejecutamos cualquiera de las acciones vistas
anteriormente, obtendremos como resultado que se genera un efecto túnel dentro
de los valores de tiempo establecidos.
A modo de ejemplo, expondré a
continuación una única prueba, con un tiempo de espera de 50000 milisegundos,
en lugar de los 14000 vistos hasta ahora.
CCDR
Crear
un fichero ‘A’ en una carpeta; crear un fichero ‘B’, en la misma carpeta;
eliminar el fichero ‘A’; y renombrar el fichero ‘B’ como ‘A’
·
Crear
un fichero ‘A’, de 512 bytes, con nombre largo
·
Crear
un fichero ‘B’, de 512 bytes, con nombre largo
·
Eliminar
el fichero ‘A’
·
Establecer
un tiempo de espera de 50000 milisegundos
·
Renombrar
el fichero ‘B’ a ‘A’
En esta prueba, tal y como
puedes ver en la anterior imagen animada, se creó en el sistema un fichero con
el nombre largo ‘512-14-LFN01’ en la
carpeta ‘Test’, el día 08-06-2020 a las 08:25:39. A este
fichero se le asignó la entrada número 93893
en la MFT. Tras esperar 10 segundos, se creó un segundo fichero con el nombre
largo ‘512-14-LFN02’, en la misma
carpeta, a las 08:25:48. A este
segundo fichero se le asignó la entrada número 94051 en la MFT.
Después de esperar 300
segundos, se eliminó el fichero con el nombre ‘512-14-LFN01’ y, tras una espera de 50000 milisegundos, se
renombró el fichero ‘512-14-LFN02’ a
‘512-14-LFN01’.
Tal y como puedes comprobar
en los extractos de las tablas anteriores, el fichero ‘512-14-LFN01’, que ocupaba originalmente la entrada número 93893, ya no se encuentra disponible en
la MFT, al haber sido, dicha entrada, reemplazada por otra que pertenece,
ahora, al fichero ‘StartupProfileData-NonInteractive’,
de PowerShell, a las 08:31:45. Por
otro lado, el fichero ‘512-15-LFN02’,
que ocupa la entrada 94051 en la
MFT, ahora ha pasado a denominarse ‘512-15-LFN01’.
En lo referente a las marcas
de tiempo, el fichero renombrado fue creado el día 08-06-2020 a las 08:25:48, (en color verde). Sin embargo, tal y como
puedes comprobar, al renombrarlo con el mismo nombre de fichero que el
eliminado, adquiere la fecha de creación de ese fichero eliminado, a las 08:25:39, (en color rojo), presentando, en las
demás marcas de tiempo, la fecha original de creación del fichero. Esto indica
que, en este caso, con un tiempo de
espera de 50000 milisegundos, se ha generado un efecto túnel.
Deshabilitando
la creación de nombres de archivo cortos, (8.3)
Se decía al comienzo de este artículo
que “La
idea, (de la tunelización del sistema de archivos) es imitar el comportamiento que
los programas MS-DOS esperan cuando utilizan el método de almacenamiento
seguro.”
MS-DOS trabaja con nombres de archivo
cortos, (8.3). Así pues, otro modo de deshabilitar la tunelización del sistema
de archivos es desactivando la creación de nombres de archivo cortos en el
sistema. Para ello, se debe modificar el valor de la clave “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem\NtfsDisable8dot3NameCreation”,
en el Registro de Windows, estableciendo dicho valor en ‘1’, y reiniciando el sistema para que se aplique la nueva
configuración.
Una vez aplicada esta
configuración, si, ahora ejecutamos cualquiera de las acciones vistas
anteriormente, obtendremos como resultado que en ningún caso se genera un
efecto túnel.
A modo de ejemplo, expondré
a continuación dos pruebas, con nombres de archivo largos y nombres de archivo
cortos, y un tiempo de espera de 14000 milisegundos.
CDC
Crear
un fichero ‘A’ en una carpeta; eliminar el fichero ‘A’; y volver a crear un
fichero ‘A’, en la misma carpeta
·
Crear
un fichero ‘A’, de 512 bytes, con nombre largo
·
Eliminar
el fichero ‘A’
·
Establecer
un tiempo de espera de 14000 milisegundos
·
Volver
a crear un fichero ‘A’, de 512 bytes, con nombre largo, en la misma carpeta
En esta prueba, tal y como
puedes ver en la anterior imagen animada, se creó en el sistema un fichero con
el nombre largo ‘512-14-LFN’ en la
carpeta ‘Test’, el día 18-06-2020 a las 09:55:54. A este
fichero se le asignó la entrada número 93893
en la MFT.
Después de esperar 300
segundos, se eliminó el fichero con el nombre ‘512-14-LFN’ y, tras una espera de 14000 milisegundos, se volvió a
crear otro fichero del mismo tamaño, en la misma carpeta, con el nombre ‘512-14-LFN’.
Tal y como puedes comprobar
en los extractos de las tablas anteriores, el fichero ‘512-14-LFN’, que ocupaba en la primera creación del fichero, la
entrada número 93893 en la MFT,
sigue ocupando la misma entrada, con el mismo nombre de fichero.
En lo referente a las marcas
de tiempo, el fichero eliminado ‘512-14-LFN’
fue creado el día 18-06-2020 a las
09:55:54, volviendo a crear un fichero con el mismo nombre ‘512-14-LFN’, tras un tiempo de espera
de 14000 milisegundos, el día 18-06-2020
a las 10:01:05, presentándose correctamente la marca de tiempo de creación
de dicho fichero. Esto indica que, en este caso, con un tiempo de espera de 14000 milisegundos, no se ha generado un
efecto túnel.
Crear
un fichero ‘A’ en una carpeta; eliminar el fichero ‘A’; y volver a crear un
fichero ‘A’, en la misma carpeta
·
Crear
un fichero ‘A’, de 512 bytes, con nombre corto
·
Eliminar
el fichero ‘A’
·
Establecer
un tiempo de espera de 14000 milisegundos
·
Volver
a crear un fichero ‘A’, de 512 bytes, con nombre corto, en la misma carpeta
En esta prueba, tal y como
puedes ver en la anterior imagen animada, se creó en el sistema un fichero con
el nombre corto ‘512-15~1’ en la
carpeta ‘Test’, el día 18-06-2020 a las 10:16:00. A este
fichero se le asignó la entrada número 92610
en la MFT.
Después de esperar 300
segundos, se eliminó el fichero con el nombre ‘512-15~1’ y, tras una espera de 14000 milisegundos, se volvió a
crear otro fichero del mismo tamaño, en la misma carpeta, con el nombre corto ‘512-15~1’.
Tal y como puedes comprobar
en los extractos de las tablas anteriores, el fichero ‘512-15~1’, que ocupaba en la primera creación del fichero, la
entrada número 92610 en la MFT,
sigue ocupando la misma entrada, con el mismo nombre de fichero.
En lo referente a las marcas
de tiempo, el fichero eliminado ‘512-15~1’
fue creado el día 18-06-2020 a las 10:16:00,
volviendo a crear un fichero con el mismo nombre ‘512-15~1’, tras un tiempo de espera de 14000 milisegundos, el día 18-06-2020 a las 10:21:14,
presentándose correctamente la marca de tiempo de creación de dicho fichero.
Esto indica que, en este caso, con un
tiempo de espera de 14000 milisegundos, no se ha generado un efecto túnel.
Deshabilitando
la actualización del último acceso
Si eres de esas personas que se lo
cuestiona todo, (yo lo hago), quizás te estés preguntando si, al deshabilitar
la actualización de la marca de tiempo del último acceso a un
fichero. Vamos a verlo.
Para ello, se debe modificar el valor de
la clave “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem\NtfsDisableLastAccessUpdate”,
en el Registro de Windows, estableciendo dicho valor en ‘1’, y reiniciando el sistema para que se aplique la nueva
configuración.
Una vez aplicada esta
configuración, si, ahora ejecutamos cualquiera de las acciones vistas
anteriormente, obtendremos como resultado que se sigue generando el efecto
túnel de igual manera.
A modo de ejemplo, expondré
a continuación una única prueba, con un tiempo de espera de 14000 milisegundos.
CDC
Crear
un fichero ‘A’ en una carpeta; eliminar el fichero ‘A’; y volver a crear un
fichero ‘A’, en la misma carpeta
·
Crear
un fichero ‘A’, de 512 bytes, con nombre largo
·
Eliminar
el fichero ‘A’
·
Establecer
un tiempo de espera de 14000 milisegundos
·
Volver
a crear un fichero ‘A’, de 512 bytes, con nombre largo, en la misma carpeta
En esta prueba, tal y como
puedes ver en la anterior imagen animada, se creó en el sistema un fichero con
el nombre largo ‘512-14-LFN’ en la
carpeta ‘Test’, el día 18-06-2020 a las 10:40:27. A este
fichero se le asignó la entrada número 93893
en la MFT.
Después de esperar 300
segundos, se eliminó el fichero con el nombre ‘512-14-LFN’ y, tras una espera de 14000 milisegundos, se volvió a
crear otro fichero del mismo tamaño, en la misma carpeta, con el nombre ‘512-14-LFN’.
Tal y como puedes comprobar
en los extractos de las tablas anteriores, el fichero ‘512-14-LFN’, que ocupaba la entrada número 93893 en la MFT, ha sido eliminado. Del mismo modo, se ha creado el
fichero ‘512-14-LFN’, que ocupa la
entrada 90569 en la MFT.
En lo referente a las marcas
de tiempo, el último fichero creado, que ocupa la entrada número 90569, fue creado el día 18-06-2020 a las 10:45:41. Sin embargo,
tal y como puedes comprobar, al crearlo con el mismo nombre de fichero que el
eliminado anteriormente, adquiere la fecha de creación de ese fichero
eliminado, a las 10:40:27, (en color rojo),
presentando, en las demás marcas de tiempo, la fecha original de creación del
fichero. Esto indica que, en este caso, con
un tiempo de espera de 14000 milisegundos, se ha generado un efecto túnel.
Determinando
un valor máximo de tunelización
¿Existe un valor máximo de tunelización
del sistema de archivos? ¿Se puede calcular? Se puede, sí. Como con todo, es
cuestión de inversión de tiempo, y de ganas.
Para ello, he modificado el valor de la clave “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem\MaximumTunnelEntryAgeInSeconds”,
en el Registro de Windows, estableciendo dicho valor en ‘86400’, (que equivale a un día convertido a segundos), y
reiniciando el sistema para que se aplique la nueva configuración.
Con esta configuración volví
a efectuar las pruebas, variando el tiempo de espera en segundos y, de ese
modo, he podido determinar que, en mi caso, en mis pruebas, con un tiempo de
espera de 71 segundos se genera un efecto túnel, mientras que, con un tiempo de
espera de 72 segundos, no se genera. Así pues, según mis resultados, el tiempo
máximo de tunelización es de 71 segundos.
A continuación expondré
ambas pruebas.
CDC
Crear
un fichero ‘A’ en una carpeta; eliminar el fichero ‘A’; y volver a crear un
fichero ‘A’, en la misma carpeta
·
Crear
un fichero ‘A’, de 512 bytes, con nombre largo
·
Eliminar
el fichero ‘A’
·
Establecer
un tiempo de espera de 71000 milisegundos
·
Volver
a crear un fichero ‘A’, de 512 bytes, con nombre largo, en la misma carpeta
En esta prueba, tal y como
puedes ver en la anterior imagen animada, se creó en el sistema un fichero con
el nombre largo ‘512-71-LFN’ en la
carpeta ‘Test’, el día 11-06-2020 a las 08:41:57. A este
fichero se le asignó la entrada número 93893
en la MFT.
Después de esperar 300
segundos, se eliminó el fichero con el nombre ‘512-71-LFN’ y, tras una espera de 71000 milisegundos, se volvió a
crear otro fichero del mismo tamaño, en la misma carpeta, con el nombre ‘512-71-LFN’.
Tal y como puedes comprobar
en los extractos de las tablas anteriores, el fichero ‘512-71-LFN’, que ocupaba la entrada número 93893 en la MFT, ha sido eliminado. Del mismo modo, se ha creado el
fichero ‘512-71-LFN’, que ocupa la
entrada 86001 en la MFT.
En lo referente a las marcas
de tiempo, el último fichero creado, que ocupa la entrada número 86001, fue creado el día 11-06-2020 a las 08:48:14. Sin embargo,
tal y como puedes comprobar, al crearlo con el mismo nombre de fichero que el
eliminado anteriormente, adquiere la fecha de creación de ese fichero
eliminado, a las 08:41:57, (en color rojo),
presentando, en las demás marcas de tiempo, la fecha original de creación del
fichero. Esto indica que, en este caso, con
un tiempo de espera de 71000 milisegundos, se ha generado un efecto túnel.
Crear
un fichero ‘A’ en una carpeta; eliminar el fichero ‘A’; y volver a crear un
fichero ‘A’, en la misma carpeta
·
Crear
un fichero ‘A’, de 512 bytes, con nombre largo
·
Eliminar
el fichero ‘A’
·
Establecer
un tiempo de espera de 15000 milisegundos
·
Volver
a crear un fichero ‘A’, de 512 bytes, con nombre largo, en la misma carpeta
En esta prueba, tal y como
puedes ver en la anterior imagen animada, se creó en el sistema un fichero con
el nombre largo ‘512-72-LFN’ en la
carpeta ‘Test’, el día 11-06-2020 a las 08:50:27. A este
fichero se le asignó la entrada número 90575
en la MFT.
Después de esperar 300
segundos, se eliminó el fichero con el nombre ‘512-72-LFN’ y, tras una espera de 72000 milisegundos, se volvió a
crear otro fichero del mismo tamaño, en la misma carpeta, con el nombre ‘512-72-LFN’.
Tal y como puedes comprobar
en los extractos de las tablas anteriores, el fichero ‘512-72-LFN’, que ocupaba en la primera creación del fichero, la
entrada número 90575 en la MFT,
sigue ocupando la misma entrada, con el mismo nombre de fichero.
En lo referente a las marcas
de tiempo, el fichero eliminado ‘512-72-LFN’
fue creado el día 11-06-2020 a las
08:50:27, volviendo a crear un fichero con el mismo nombre ‘512-72-LFN’, tras un tiempo de espera
de 72000 milisegundos, el día 11-06-2020
a las 08:56:37, presentándose correctamente la marca de tiempo de creación
de dicho fichero. Esto indica que, en este caso, con un tiempo de espera de 14000 milisegundos, no se ha generado un
efecto túnel.
¿Cómo
explicamos que se ha creado un efecto túnel?
¿Dónde debemos acudir cuando
encontramos discordancias en las marcas de tiempo? ¿Dónde podemos explicar que
se ha producido un efecto túnel? La respuesta se halla en el fichero
‘$LogFile’. El fichero ‘$LogFile’ es un archivo que registra todos los cambios
que se producen en un fichero y que afectan, por ende, a un volumen NTFS. Todos
los cambios implican todos los metadatos, los atributos, de un fichero. Por
ello, si tenemos en cuenta que, todo, en un sistema de archivos NTFS, es un
fichero, obtenemos que cualquier acción que se lleve a cabo en el sistema quedará
registrada en este diario.
Tal y como puedes observar
en el extracto de la tabla anterior, tenemos, por un lado, que se creó un
fichero con el nombre ‘4096_512_14_Seconds’ el día 02-06-2020 a las 16:08:23, (en color verde).
El fichero fue creado en la carpeta que tiene asignada la entrada 92342 en la
MFT, que se corresponde con la carpeta de nombre ‘Test’. Al fichero se le
asignó la entrada 93893 en la MFT. El día 02-06-2020 a las 16:13:23 se eliminó
el fichero ‘4096_512_14_Seconds’, (en color rojo), que tenía asignada la entrada
93893 en la MFT y que estaba alojado en la carpeta ‘Test’, cuyo número de
entrada en la MFT es la 92342. Nuevamente, se creó un fichero con el nombre
‘4096_512_14_Seconds’, el día 02-06-2020 a las 16:13:37, (en color verde), al que se le
asignó la entrada 93750 en la MFT. Este último fichero fue creado en la misma
carpeta ‘Test’, cuya entrada en la MFT es la número 92342.
Por otro lado, tenemos que
la entrada de la MFT con número 93893, que estaba ocupada anteriormente por el
fichero ‘4096_512_14_Seconds’, fue reasignada al fichero ‘he_settings.ini’, el
día 02-06-2020 a las 16:14:48, alojado en otra carpeta distinta.
Conclusiones
Hay quien tiene la creencia
de que la tunelización del sistema de ficheros no tiene un fuerte impacto en un
análisis forense. Yo tengo la creencia de que sí tiene importancia. ¿Por qué
creo esto? Porque, si no somos capaces de dar explicación a un suceso, ¿Cómo
seremos capaces de hallar las respuestas a las preguntas que nos estamos
haciendo? Si no somos capaces de explicar cómo y porqué se generan los efectos
túnel, ¿Cómo podemos hallar la verdad en nuestras investigaciones?
Ya hay ocasiones en las que,
el hecho de comprender una línea de tiempo, entraña mucha dificultad. Entender
esta particularidad, además, le da un hándicap más, porque tenemos que ser
capaces de hilar un suceso con otro, al objeto de proporcionar un contexto a
una determinada acción.
Te propongo el siguiente
ejemplo: Estás llevando a cabo un análisis forense de un sistema en el que un
usuario tenía un determinado contenido en un archivo. Este usuario manifiesta
que alguien le ha querido inculpar, cambiando el contenido del fichero en
cuestión, (pon aquí un contenido de carácter ilícito). En el análisis de la MFT
te encuentras una única referencia a ese fichero, que presenta en los atributos
de ‘SI’ y de ‘FN’ la misma fecha de creación, aunque existen discordancias en
el resto de fechas. Si no conoces esta peculiaridad de los sistemas Windows, no
podrás explicar lo sucedido. Si no puedes explicar lo sucedido, no podrás
hallar la verdad. Y, si no puedes hallar la verdad, el usuario se verá afectado
en el resultado final del análisis.
Pero vamos, que esto es,
sólo, una opinión de un curioso en este campo de DFIR.
Esto es todo,
Entradas
No hay comentarios:
Publicar un comentario