Vuelvo en 15 segundos. O, tal vez no. Tunelización del sistema de archivos ~ Un minion curioso

Hola, secuaces:

Este es otro trabajo más, de esos que, por una razón o por otra, se ‘atragantan’ por diversas razones. Lo tenía pendiente, en mi lista ‘ToDo’, a medio completar, desde hace mucho, mucho tiempo. Y es por esa razón, porque ha transcurrido mucho tiempo, por la que he reiniciado todas esas pruebas que tenía a medio completar. Porque el entorno de trabajo cambia, porque los sistemas cambian.

Podría decirse que este artículo surgió por casualidad, hace muchísimo tiempo… aunque guarda cierta relación con otro trabajo que retomé, también, hace mucho tiempo, y que publiqué bajo el título de ‘Un byte marca la diferencia: MFT Resident File’.

Introducción

Debemos conocer y comprender cómo se comportan los sistemas que estamos analizando. Existen multitud de características en ellos. Puede que esas características sean conocidas o puede que aún estén por ‘descubrir’. O, incluso, puede darse el caso de que se presenten en unas determinadas versiones y no en otras, como ocurre, por ejemplo, con el caso del contenido que publiqué en el artículo ‘Windows y su lado antiforense, (Plug and Play Cleanup y setupapi[.]dev)’. Puede que algunas de esas características sean recientes o puede que lleven ahí toda la vida. Algunas de esas características puede que tengan un fuerte impacto en un análisis forense y otras de esas características puede que no tengan un impacto serio en ciertos tipos de análisis. Pero eso es algo que no llegaremos a saber si no somos capaces de comprender cómo funcionan esas características que presentan los sistemas. Es importante tener un conocimiento profundo de los sistemas, tal y como mencionó Harlan Carvey en un artículo que publicó el día 8 de mayo de 2019, (Deep Knowledge, and the Pursuit Thereof).

Existen ocasiones en las que estamos tan centrados en una tarea que, a pesar de observar un comportamiento extraño en el entorno de trabajo, no prestamos la atención que se merece porque, en apariencia, no guarda relación con la tarea que estemos llevando en ese momento.

Me ha pasado, me pasa y me pasará. Y, seguramente, te ha pasado, te pasa y te pasará.

Craso error.

La característica de la que os quiero hablar hoy es la tunelización del sistema de ficheros. Seguramente conozcas esta característica, o quizás no estés familiarizado con ella. En cualquier caso, seguro que la has visto en más de una ocasión.

“Es importante tener un conocimiento profundo de los sistemas, pero es imposible saberlo todo sobre ellos”.

Así que, Como muy bien dice Brett Shavers en el artículo que publicó bajo el título de “Don’t look back. Try to keep up. This is #DFIR”,

“Cuando buscas una respuesta y la encuentras, la retención de lo que aprendes es mucho mejor que publicar una pregunta en un foro y esperar que alguien te proporcione la respuesta.”

La importancia de documentarse

Es vital documentarse antes de comenzar un trabajo.

La tunelización del sistema de archivos es considerada por algunos analistas como una característica “algo oscura” de Windows. Esta característica consiste en que, cuando se borra un fichero y se crea otro, de idéntico nombre y en la misma ruta, el nuevo fichero creado hereda la misma fecha de creación que el fichero que ha sido eliminado. Esto ocurre si se lleva a cabo dentro de un determinado tiempo, (según algunos artículos que he estado leyendo, ese tiempo puede ser de hasta 15 segundos, por defecto). Es decir, se tienen que dar unas condiciones específicas para poder observar cómo esta funcionalidad reutiliza algunos metadatos de otro fichero.

“Si no conocemos estas características ‘especiales’, podemos caer en la confusión.”

Al desconocer este tipo de características, caemos en la confusión por no poder dar respuesta, por no poder explicar, el porqué de esta peculiaridad.

He leído y estudiado los artículos que he ido encontrando sobre este asunto. ¡Vamos a hacer un poco de cronología!

Se han escrito algunos artículos muy interesantes sobre este tema, aunque la documentación original de Microsoft que menciona esta característica, y que esos otros artículos referencian, ya no se encuentra disponible, (http://support.microsoft.com/?kbid=172190). Igualmente, se referencian algunos artículos que ya no se encuentran disponibles. (He preguntado a la comunidad Infosec y DFIR, pero nadie parece estar en posesión del contenido de dicho artículo, dado que nadie me ha llegado a responder). Así que, ahora mismo, se carece de documentación oficial al respecto. Odio que se pierda documentación oficial.

“La carencia de documentación, aumenta la confusión.”

Por suerte, Dan O'Day tuvo a bien guardar parte del contenido de algunos de esos artículos ‘perdidos’, en su repositorio de GitHub.

Según parece, este artículo de Microsoft mencionaba que, tanto los sistemas de archivos NTFS, como los sistemas de archivos FAT, tienen esta peculiaridad para crear túneles. Cito, textualmente, el contenido relativo a la tunelización del sistema de archivos que Dan copió en su repositorio y que ha sido mencionado, también, por otros artículos:

“Los productos de Microsoft Windows que se enumeran al principio de este artículo contienen capacidades de tunelización de sistemas de archivos para permitir la compatibilidad con programas que dependen de que los sistemas de archivos sean capaces de mantener la meta-información de archivos durante un corto período de tiempo.”

“Cuando se elimina un archivo de un directorio, (renombrar o eliminar), su par de nombres corto/largo y la hora de creación se guardan en una caché, junto con el nombre que se ha eliminado. Cuando se añade un archivo a un directorio, (renombrar o crear), se busca en la caché para ver si hay información que restaurar. La caché es efectiva para cada instancia de un determinado directorio. Si se elimina un directorio, se elimina la caché correspondiente.”

“La idea es imitar el comportamiento que los programas MS-DOS esperan cuando utilizan el método de almacenamiento seguro. Copian los datos modificados a un archivo temporal, borran el original y renombran el temporal al original. Este debería parecer el archivo original cuando esté completo. Windows realiza túneles en los sistemas de archivos FAT y NTFS para garantizar que los nombres de archivos largos/cortos se conserven cuando las aplicaciones de 16 bits realicen esta operación de almacenamiento seguro.”

“El tiempo de caché del túnel se puede ajustar desde el tiempo predeterminado de 15 segundos, o si las capacidades del túnel no son deseables, se puede desactivar añadiendo un valor en el Registro de Windows.”

“Si se desactiva la tunelización, las aplicaciones que utilizan este método de almacenamiento seguro pueden perder el nombre que desconocen, normalmente la LFN, y el redescubrimiento de los objetivos de acceso directo podría verse afectado, ya que las marcas de tiempo de creación no pueden permanecer constantes para los archivos manipulados por dichas aplicaciones. El mantenimiento de la marca de tiempo de creación es posible en ausencia de tunelización si una aplicación es lo suficientemente inteligente. Lo mismo no es cierto para los nombres de archivo largos.”

"…permiten la compatibilidad con programas que dependen de que los sistemas de archivos puedan mantener la meta-información de archivos durante un corto período de tiempo. Esto ocurre después de borrar o renombrar y volver a crear una nueva entrada de directorio con esa meta-información, (si se produce una creación o renombramiento que haga que un archivo con ese nombre aparezca de nuevo en un breve período de tiempo).".

……….

Los metadatos del sistema de archivos siempre se almacenan en caché, tal y como puedes leer en este artículo del sitio oficial de Microsoft.

En este otro artículo de Microsoft, que data del 15 de julio de 2005, (The apocryphal history of file system tunnelling), que ya menciona la creación de túneles en los sistemas de ficheros, se explica el porqué de la tunelización, haciendo mención a que esta característica ya se implementó en Windows 95.

No puedo evitar emocionarme… ¡Cuánta nostalgia..! ¡Windows 95..!

Este artículo también menciona que, después de eliminar un fichero con un nombre de archivo largo, el fichero que se genere después, dentro de un determinado tiempo, con mismo nombre e idéntica ubicación, heredará, además de la fecha de creación, el mismo nombre de archivo corto que el fichero eliminado.

La última oración de ese artículo me ha llamado muchísimo la atención:

“Los fragmentos de información sobre archivos recientemente borrados o renombrados se guardan en estructuras de datos llamadas ‘quarks’”.

Es decir que, según este artículo de Microsoft, durante el efecto de tunelización se guarda parte de la información del fichero afectado, temporalmente.

Buscando información al respecto me encontré con un artículo publicado el día 22 de agosto de 2007, (Windows Date Created Timestamp strangeness), que dice que Windows almacena en caché la marca de tiempo del archivo eliminado durante algún tiempo, y que ese tiempo puede llegar hasta los 8 minutos.

El día 11 de abril de 2010, Harlan ya comenzó a publicar material relacionado con esta funcionalidad de tunelizado de sistemas de archivos. Como bien menciona Harlan en ese artículo, bajo circunstancias normales, las marcas de tiempo, (mediante las líneas de tiempo), ya entrañan cierta dificultad en su análisis. Si a esa dificultad se le añaden más elementos que, quizás, se desconozcan… ‘¡Apaga y vámonos!’

Se menciona en otro artículo, publicado el día 7 de febrero de 2012, (File System Tunneling in Windows), que la tunelización tiene relación con el hecho de que algunos programas que utilizan el método de almacenamiento seguro copian los datos modificados a un archivo temporal antes de eliminar el archivo original y renombran el archivo temporal con el nombre del archivo original.

La tunelización del sistema de ficheros puede ser deshabilitada y también se le puede asignar un tiempo determinado, dado en segundos. El primer artículo que he visto que menciona esto, además del extracto de la documentación oficial que guardó Dan, es uno que se publicó el día 24 de febrero de 2014, (Microsoft Windows File System Tunneling). Este artículo dice que estas dos operaciones se pueden llevar a cabo añadiendo un par de claves en el Registro de Windows:

Para deshabilitar la tunelización del sistema de archivos bastaría con añadir la clave

“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem\MaximumTunnelEntries”

Y asignar a esa clave un valor de ‘0’.

Para modificar el tiempo de la tunelización bastaría con añadir la clave

“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem\MaximumTunnelEntryAgeInSeconds”

Y asignar a esa clave un valor establecido en segundos.

Harlan también publicó otro artículo muy interesante sobre este tema, con interesantes pruebas, el día 22 de julio de 2014, (File system ops, effects on MFT records). Según las pruebas que expuso, llegó a la conclusión de que, durante la tunelización del sistema de ficheros, el registro del archivo original, en la MFT, se marca como ‘eliminado’ y que se asigna un nuevo registro al nuevo archivo creado durante esa tunelización. También pudo ver que $UsnJrnl contiene entradas que muestran que se ha producido una tunelización del sistema de archivos.

El día 2 de agosto de 2013, Blazer Catzen publicó en el Blog de David Cowen una buena presentación sobre este tema, que puedes descargar desde su sitio de Google.

No he vuelto a encontrar material que llame especialmente mi atención hasta que Hideaki Ihara publicó, en primer lugar, un artículo el día 12 de octubre de 2018, (File System Tunneling and E:\), donde efectúa unas pruebas de tunelización sobre un dispositivo USB. Hideaki publicó otro artículo, el día 19 de octubre de 2018, (File System Tunneling and C:\), efectuando esas mismas pruebas sobre un disco local.

Por último, más recientemente he encontrado otro artículo interesante, publicado el día 13 de abril de 2019, (File System Tunneling in Windows), que está muy bien explicado, con interesantes pruebas, y que enlaza a un documento PDF muy interesante, que puedes descargar desde el sitio oficial de Microsoft. Este documento, que lleva por título “File System Behavior in the Microsoft Windows Environment”, menciona, entre otras cosas, que los sistemas de archivos FAT, NTFS y exFAT soportan la tunelización de ficheros, mientras que el sistema de archivos UDF no soporta la tunelización de ficheros.

Y hasta aquí ha llegado la documentación que he seguido al objeto de estudiar y comprender la tunelización. Pero… Aún con todo lo que se ha escrito, tengo algunas dudas. Dudas que voy a intentar despejar por mí mismo.

El entorno de pruebas

Para la realización de las pruebas que he llevado a cabo, he optado por utilizar un sistema Windows 10, en su versión 18363, y un sistema Windows 10, en su versión 17763. Ambos sistemas han sido virtualizados con VirtualBox, asignando 8 GB de memoria RAM y 4 procesadores a cada uno de ellos.

Puedes descargar máquinas virtuales de Microsoft Windows para entornos virtualizados desde su sitio oficial en los siguientes enlaces:

· https://developer.microsoft.com/en-us/microsoft-edge/tools/vms/

· https://developer.microsoft.com/es-es/windows/downloads/virtual-machines/

En cada uno de los sistemas Windows 10 virtualizados llevé a cabo una serie de acciones. Más concretamente, puedo decir que dividí las pruebas en las siguientes cinco acciones para cada sistema:

· CCDR - Crear un fichero ‘A’ en una carpeta; crear un fichero ‘B’, en la misma carpeta; eliminar el fichero ‘A’; y renombrar el fichero ‘B’ como ‘A’.

· CCRR - Crear un fichero ‘A’ en una carpeta; crear un fichero ‘B’, en la misma carpeta; renombrar el fichero ‘A’ como ‘C’; y renombrar el fichero ‘B’ como ‘A’.

· CDC - Crear un fichero ‘A’ en una carpeta; eliminar el fichero ‘A’; y volver a crear un fichero ‘A’, en la misma carpeta

· CMC - Crear un fichero ‘A’ en una carpeta; mover el fichero ‘A’ a otra carpeta; y volver a crear un fichero ‘A’, en la misma carpeta.

· CRC - Crear un fichero ‘A’ en una carpeta; renombrar el fichero ‘A’ como ‘B’; y crear un fichero ‘A’, en la misma carpeta.

El significado de las abreviaturas es:

· C = Crear

· D = Eliminar

· R = Renombrar

· M = Mover

A su vez, cada una de estas acciones ha sido llevada a cabo bajo una serie de condiciones, combinadas entre sí:

· Un tiempo de espera de 1400 milisegundos.

· Un tiempo de espera de 1500 milisegundos.

· Un tiempo de espera de 1600 milisegundos.

· Nombres de fichero largo.

· Nombres de fichero corto.

· Tamaño de fichero de 512 bytes.

· Tamaño de fichero de 4096 bytes.

A su vez, igualmente, todas estas pruebas han sido ejecutadas:

· En un sistema con una configuración por defecto.

· En un sistema con la tunelización deshabilitada.

· En un sistema con un valor de tunelización determinado.

· En un sistema con un valor máximo de tunelización.

· En un sistema con la creación de nombres cortos deshabilitada.

· En un sistema con la actualización de marcas de tiempo deshabilitada.

Esto, son sólo algunas posibles combinaciones que he llevado a cabo, pero hay más. Aun así, puedes calcular el total de ejecuciones que he llevado a cabo, en ambos sistemas, y hacerte una idea del tiempo invertido en todas estas pruebas, y su posterior análisis. Puedes estar tranquilo, porque no expondré todos los resultados que he obtenido en las pruebas. Sólo me ceñiré a aquellos que creo de interés. Eso sí, que no falte un buen café ;)

Cada una de las acciones, descritas anteriormente, ha sido automatizada mediante un pequeño script en PowerShell, con la siguiente estructura.

Durante la ejecución de cada una de estos scripts he procedido a la extracción de los ficheros ‘$MFT’ y ‘$LogFile’, con la herramienta OSForensics, en su versión portable, (Puedes usar cualquier otra, como FTK Imager Lite). La extracción de estos ficheros se ha llevado a cabo justo después de la creación del primer fichero y justo después de finalizar la ejecución del script. Es decir, se han extraído los dos elementos en dos ocasiones, por cada ejecución, al objeto de comparar la información del antes y el después.

Del mismo modo, he dejado transcurrir un total de 300 segundos, justo después de la preparación de los ficheros para su efecto túnel. 300 segundos es tiempo más que suficiente para la extracción de los elementos necesarios, para su posterior análisis, y para efectuar algunas capturas de pantalla con la herramienta Active@ Disk Editor, al objeto de estudiar los distintos atributos y metadatos de cada uno de los ficheros tratados.

En lo referente al procesamiento de los ficheros ‘$MFT’ y ‘$LogFile’ que han sido extraídos, he optado por utilizar las herramientas FTE y MFTECmd para el análisis de la ‘$MFT’, (por aquello de contrastar datos y demás cosas raras que me gusta hacer), y la herramienta LogFileParser para el análisis del ‘$LogFile’.

Una versión corta…

¡¡Gracias, estadísticas!! He podido comprobar, gracias a las estadísticas, que no pasarás más de dos minutos leyendo cualquiera de mis artículos. Por esa razón voy a exponer ahora, y no al final, como suelo hacer, un breve resumen del trabajo desarrollado.

La tunelización del sistema de archivos se hará visible, según mis pruebas, si las acciones se llevan a cabo dentro de un tiempo de 15000 milisegundos, en un sistema que presente una configuración por defecto. Todo ello, independientemente del tamaño del fichero y del tipo de nombre del fichero, con una única excepción.

La tunelización se genera cuando:

· Se crea un fichero ‘A’ en la carpeta ‘X’, se crea un fichero ‘B’ en la carpeta ‘X’, se elimina el fichero ‘A’ y se renombra el fichero ‘B’ como ‘A’.

· Se crea un fichero ‘A’ en la carpeta ‘X’, se crea un fichero ‘B’ en la carpeta ‘X’, se renombra el fichero ‘A’ como ‘C’ y se renombra el fichero ‘B’ como ‘A’.

· Se crea un fichero ‘A’ en la carpeta ‘X’, se elimina el fichero ‘A’, se crea otro fichero ‘A’ en la carpeta ‘X’.

· Se crea un fichero ‘A’ en la carpeta ‘X’, se mueve el fichero ‘A’ a la carpeta ‘Z’ y se crea otro fichero ‘A’ en la carpeta ‘X’.

· Se crea un fichero ‘A’ en la carpeta ‘X’, se renombra el fichero ‘A’ como ‘B’ y se crea otro fichero ‘A’ en la carpeta ‘X’.

De los casos mencionados anteriormente, la única excepción por la que no se generará el efecto túnel es en el caso de combinar un nombre largo de fichero con su equivalente de nombre corto.

Si se deshabilita la tunelización del sistema de archivos, no se producirá bajo ninguna condición, salvo la propia acción de sobrescribir un fichero.

Se puede personalizar el tiempo de tunelización del sistema de archivos, hasta un máximo, determinado en segundos.

El tiempo máximo que admite la tunelización del sistema de archivos es de 71000 milisegundos.

Deshabilitando la creación de nombres de archivo cortos, (8.3), también se deshabilita la tunelización del sistema de archivos, puesto que la tunelización se basa en esos tipo de nombres.

Deshabilitar la actualización de las marcas de tiempo no afecta al efecto túnel. Es decir, que, aunque se deshabilite esta función, se sigue generando.

No en todos los casos se asigna una nueva entrada en la MFT para el fichero que causa el efecto túnel. De hecho, en aquellas acciones que impliquen la eliminación del fichero ‘A’, se reutiliza la entrada en la MFT, para el fichero ‘B’. Esto, se ha visto al deshabilitar la tunelización del sistema de archivos, al deshabilitar la creación de nombres cortos, (8.3), y en el caso de la sobrescritura de ficheros.

No siempre encontraremos, cuando se genera un efecto túnel, una discordancia en las fechas de creación de los atributos ‘SI’ y ‘FN’. De hecho, habrá ocasiones en las que debamos basar el estudio en base a las discordancias de fechas que se encuentren dentro del atributo ‘SI’.

La respuesta a la explicación de un efecto túnel se hallará en el análisis del fichero ‘$LogFile’.

Pruebas en un sistema configurado por defecto

CCDR

Crear un fichero ‘A’ en una carpeta; crear un fichero ‘B’, en la misma carpeta; eliminar el fichero ‘A’; y renombrar el fichero ‘B’ como ‘A’

· Crear un fichero ‘A’, de 512 bytes, con nombre largo

· Crear un fichero ‘B’, de 512 bytes, con nombre largo

· Eliminar el fichero ‘A’

· Establecer un tiempo de espera de 14000 milisegundos

· Renombrar el fichero ‘B’ a ‘A’

En esta prueba, tal y como puedes ver en la anterior imagen animada, se creó en el sistema un fichero con el nombre largo ‘512-14-LFN01’ en la carpeta ‘Test’, el día 29-05-2020 a las 16:12:45. A este fichero se le asignó la entrada número 93994 en la MFT. Tras esperar 10 segundos, se creó un segundo fichero con el nombre largo ‘512-14-LFN02’, en la misma carpeta, a las 16:12:55. A este segundo fichero se le asignó la entrada número 93996 en la MFT.

Después de esperar 300 segundos, se eliminó el fichero con el nombre ‘512-14-LFN01’ y, tras una espera de 14000 milisegundos, se renombró el fichero ‘512-14-LFN02’ a ‘512-14-LFN01’.

Tal y como puedes comprobar en los extractos de las tablas anteriores, el fichero ‘512-14-LFN01’, que ocupaba la entrada número 93994 en la MFT, ha sido eliminado y, el fichero ‘512-14-LFN02’, que ocupa la entrada 93996 en la MFT, ahora ha pasado a denominarse ‘512-14-LFN01’.

En lo referente a las marcas de tiempo, el fichero renombrado fue creado el día 29-05-2020 a las 16:12:55, (en color verde). Sin embargo, tal y como puedes comprobar, al renombrarlo con el mismo nombre de fichero que el eliminado, adquiere la fecha de creación de ese fichero eliminado, a las 16:12:45, (en color rojo), presentando, en las demás marcas de tiempo, la fecha original de creación del fichero. Esto indica que, en este caso, con un tiempo de espera de 14000 milisegundos, se ha generado un efecto túnel.

Crear un fichero ‘A’ en una carpeta; crear un fichero ‘B’, en la misma carpeta; eliminar el fichero ‘A’; y renombrar el fichero ‘B’ como ‘A’

· Crear un fichero ‘A’, de 512 bytes, con nombre largo

· Crear un fichero ‘B’, de 512 bytes, con nombre largo

· Eliminar el fichero ‘A’

· Establecer un tiempo de espera de 15000 milisegundos

· Renombrar el fichero ‘B’ a ‘A’

En esta prueba, tal y como puedes ver en la anterior imagen animada, se creó en el sistema un fichero con el nombre largo ‘512-15-LFN01’ en la carpeta ‘Test’, el día 01-06-2020 a las 10:23:22. A este fichero se le asignó la entrada número 93893 en la MFT. Tras esperar 10 segundos, se creó un segundo fichero con el nombre largo ‘512-15-LFN02’, en la misma carpeta, a las 10:23:32. A este segundo fichero se le asignó la entrada número 94000 en la MFT.

Después de esperar 300 segundos, se eliminó el fichero con el nombre ‘512-15-LFN01’ y, tras una espera de 15000 milisegundos, se renombró el fichero ‘512-15-LFN02’ a ‘512-15-LFN01’.

Tal y como puedes comprobar en los extractos de las tablas anteriores, el fichero ‘512-15-LFN01’, que ocupaba la entrada número 93893 en la MFT, ha sido eliminado y, el fichero ‘512-15-LFN02’, que ocupa la entrada 94000 en la MFT, ahora ha pasado a denominarse ‘512-15-LFN01’.

En lo referente a las marcas de tiempo, en ambos casos se muestran las fechas originales para cada uno de los dos ficheros, por lo que, con un tiempo de espera de 15000 milisegundos, no se ha generado un efecto túnel.

Crear un fichero ‘A’ en una carpeta; crear un fichero ‘B’, en la misma carpeta; eliminar el fichero ‘A’; y renombrar el fichero ‘B’ como ‘A’

· Crear un fichero ‘A’, de 512 bytes, con nombre largo

· Crear un fichero ‘B’, de 512 bytes, con nombre corto

· Eliminar el fichero ‘A’

· Establecer un tiempo de espera de 14000 milisegundos

· Renombrar el fichero ‘B’ a ‘A’

En esta prueba, tal y como puedes ver en la anterior imagen animada, se creó en el sistema un fichero con el nombre largo ‘512-14-LFN01’ en la carpeta ‘Test’, el día 30-05-2020 a las 15:05:08. A este fichero se le asignó la entrada número 93893 en la MFT. Tras esperar 10 segundos, se creó un segundo fichero con el nombre corto ‘512-14~2’, que es el equivalente a un nombre corto 8.3, en la misma carpeta, a las 15:05:18. A este segundo fichero se le asignó la entrada número 93996 en la MFT.

Después de esperar 300 segundos, se eliminó el fichero con el nombre ‘512-14-LFN01’ y, tras una espera de 14000 milisegundos, se renombró el fichero ‘512-14~2’ a ‘512-14~2’, que es el equivalente al nombre corto 8.3 del fichero ‘512-14-LFN01’.

Tal y como puedes comprobar en los extractos de las tablas anteriores, el fichero ‘512-14-LFN01’, que ocupaba la entrada número 93893 en la MFT, ha sido eliminado y, el fichero ‘512-14~2’, que ocupa la entrada 93996 en la MFT, ahora ha pasado a denominarse ‘512-14~1’.

En lo referente a las marcas de tiempo, en ambos casos se muestran las fechas originales para cada uno de los dos ficheros, por lo que, en este caso, con un tiempo de espera de 14000 milisegundos, no se ha generado un efecto túnel.

Crear un fichero ‘A’ en una carpeta; crear un fichero ‘B’, en la misma carpeta; eliminar el fichero ‘A’; y renombrar el fichero ‘B’ como ‘A’

· Crear un fichero ‘A’, de 512 bytes, con nombre corto

· Crear un fichero ‘B’, de 512 bytes, con nombre corto

· Eliminar el fichero ‘A’

· Establecer un tiempo de espera de 14000 milisegundos

· Renombrar el fichero ‘B’ a ‘A’

En esta prueba, tal y como puedes ver en la anterior imagen animada, se creó en el sistema un fichero con el nombre corto ‘512-14~1’ en la carpeta ‘Test’, el día 01-06-2020 a las 05:26:59. A este fichero se le asignó la entrada número 93893 en la MFT. Tras esperar 10 segundos, se creó un segundo fichero con el nombre largo ‘512-14~2’, en la misma carpeta, a las 05:27:09. A este segundo fichero se le asignó la entrada número 94000 en la MFT.

Después de esperar 300 segundos, se eliminó el fichero con el nombre ‘512-14~1’ y, tras una espera de 14000 milisegundos, se renombró el fichero ‘512-14~2’ a ‘512-14~1’.

Tal y como puedes comprobar en los extractos de las tablas anteriores, el fichero ‘512-14~1’, que ocupaba originalmente la entrada número 93893, ya no se encuentra disponible en la MFT, al haber sido, dicha entrada, reemplazada por otra que pertenece, ahora, al fichero ‘ht_settings.ini’, de la aplicación Active Disk Editor, a las 05:33:08. Por otro lado, el fichero ‘512-14~2’, que ocupa la entrada 94000 en la MFT, ahora ha pasado a denominarse ‘512-14~1’.

En lo referente a las marcas de tiempo, el fichero renombrado fue creado el día 01-06-2020 a las 05:27:09, (en color verde). Sin embargo, tal y como puedes comprobar, al renombrarlo con el mismo nombre de fichero que el eliminado, adquiere la fecha de creación de ese fichero eliminado, a las 05:26:59, (en color rojo), presentando, en las demás marcas de tiempo, la fecha original de creación del fichero. Esto indica que, en este caso, con un tiempo de espera de 14000 milisegundos, se ha generado un efecto túnel.

Crear un fichero ‘A’ en una carpeta; crear un fichero ‘B’, en la misma carpeta; eliminar el fichero ‘A’; y renombrar el fichero ‘B’ como ‘A’

· Crear un fichero ‘A’, de 512 bytes, con nombre corto

· Crear un fichero ‘B’, de 512 bytes, con nombre corto

· Eliminar el fichero ‘A’

· Establecer un tiempo de espera de 15000 milisegundos

· Renombrar el fichero ‘B’ a ‘A’

En esta prueba, tal y como puedes ver en la anterior imagen animada, se creó en el sistema un fichero con el nombre corto ‘512-15~1’ en la carpeta ‘Test’, el día 02-06-2020 a las 09:09:28. A este fichero se le asignó la entrada número 93893 en la MFT. Tras esperar 10 segundos, se creó un segundo fichero con el nombre corto ‘512-15~1’, en la misma carpeta, a las 09:09:38. A este segundo fichero se le asignó la entrada número 94000 en la MFT.

Después de esperar 300 segundos, se eliminó el fichero con el nombre ‘512-15~1’y, tras una espera de 15000 milisegundos, se renombró el fichero ‘512-15~2’ a ‘512-15~1’.

Tal y como puedes comprobar en los extractos de las tablas anteriores, el fichero ‘512-15~1’, que ocupaba originalmente la entrada número 93893, ya no se encuentra disponible en la MFT, al haber sido, dicha entrada, reemplazada por otra que pertenece, ahora, al fichero ‘ht_settings.ini’, de la aplicación Active Disk Editor, a las 09:15:42. Por otro lado, el fichero ‘512-15~2’, que ocupa la entrada 94000 en la MFT, ahora ha pasado a denominarse ‘512-15~1’.

En lo referente a las marcas de tiempo, en ambos casos se muestran las fechas originales para el fichero ‘512-15~1’, por lo que, en este caso, con un tiempo de espera de 15000 milisegundos, no se ha generado un efecto túnel.

Crear un fichero ‘A’ en una carpeta; crear un fichero ‘B’, en la misma carpeta; eliminar el fichero ‘A’; y renombrar el fichero ‘B’ como ‘A’

· Crear un fichero ‘A’, de 512 bytes, con nombre largo

· Crear un fichero ‘B’, de 4096 bytes, con nombre largo

· Eliminar el fichero ‘A’

· Establecer un tiempo de espera de 14000 milisegundos

· Renombrar el fichero ‘B’ a ‘A’

En esta prueba, tal y como puedes ver en la anterior imagen animada, se creó en el sistema un fichero con el nombre largo ‘512-14-LFN01’ en la carpeta ‘Test’, el día 31-05-2020 a las 14:20:22. A este fichero se le asignó la entrada número 93893 en la MFT. Tras esperar 10 segundos, se creó un segundo fichero con el nombre largo ‘512-14-LFN02’, en la misma carpeta, a las 14:20:32. A este segundo fichero se le asignó la entrada número 94000 en la MFT.

Tal y como puedes comprobar en los extractos de las tablas anteriores, el fichero ‘512-14-LFN01’, que ocupaba la entrada número 93893 en la MFT, ha sido eliminado y, el fichero ‘512-14-LFN02’, que ocupa la entrada 94000 en la MFT, ahora ha pasado a denominarse ‘512-14-LFN01’.

En lo referente a las marcas de tiempo, el fichero renombrado fue creado el día 31-05-2020 a las 14:20:32, (en color verde). Sin embargo, tal y como puedes comprobar, al renombrarlo con el mismo nombre de fichero que el eliminado, adquiere la fecha de creación de ese fichero eliminado, a las 14:20:22, (en color rojo), presentando, en las demás marcas de tiempo, la fecha original de creación del fichero. Esto indica que, en este caso, con un tiempo de espera de 14000 milisegundos, se ha generado un efecto túnel.

Crear un fichero ‘A’ en una carpeta; crear un fichero ‘B’, en la misma carpeta; eliminar el fichero ‘A’; y renombrar el fichero ‘B’ como ‘A’

· Crear un fichero ‘A’, de 512 bytes, con nombre largo

· Crear un fichero ‘B’, de 4096 bytes, con nombre largo

· Eliminar el fichero ‘A’

· Establecer un tiempo de espera de 15000 milisegundos

· Renombrar el fichero ‘B’ a ‘A’

En esta prueba, tal y como puedes ver en la anterior imagen animada, se creó en el sistema un fichero con el nombre largo ‘512-15-LFN01’ en la carpeta ‘Test’, el día 02-06-2020 a las 18:23:35. A este fichero se le asignó la entrada número 93893 en la MFT. Tras esperar 10 segundos, se creó un segundo fichero con el nombre largo ‘512-15-LFN02’, en la misma carpeta, a las 18:23:46. A este segundo fichero se le asignó la entrada número 94000 en la MFT.

Después de esperar 300 segundos, se eliminó el fichero con el nombre ‘512-14-LFN01’ y, tras una espera de 15000 milisegundos, se renombró el fichero ‘512-14-LFN02’ a ‘512-14-LFN01’.

Tal y como puedes comprobar en los extractos de las tablas anteriores, el fichero ‘512-15-LFN01’, que ocupaba originalmente la entrada número 93893, ya no se encuentra disponible en la MFT, al haber sido, dicha entrada, reemplazada por otra que pertenece, ahora, al fichero ‘ht_settings.ini’, de la aplicación Active Disk Editor, a las 18:30:02. Por otro lado, el fichero ‘512-15-LFN02’, que ocupa la entrada 94000 en la MFT, ahora ha pasado a denominarse ‘512-15-LFN01’.

En lo referente a las marcas de tiempo, en ambos casos se muestran las fechas originales para el fichero ‘512-15-LFN01’, por lo que, en este caso, con un tiempo de espera de 15000 milisegundos, no se ha generado un efecto túnel.

Crear un fichero ‘A’ en una carpeta; crear un fichero ‘B’, en la misma carpeta; eliminar el fichero ‘A’; y renombrar el fichero ‘B’ como ‘A’

· Crear un fichero ‘A’, de 4096 bytes, con nombre largo

· Crear un fichero ‘B’, de 512 bytes, con nombre largo

· Eliminar el fichero ‘A’

· Establecer un tiempo de espera de 14000 milisegundos

· Renombrar el fichero ‘B’ a ‘A’

En esta prueba, tal y como puedes ver en la anterior imagen animada, se creó en el sistema un fichero con el nombre largo ‘4096_512_14_Seconds01’ en la carpeta ‘Test’, el día 02-06-2020 a las 09:18:09. A este fichero se le asignó la entrada número 93893 en la MFT. Tras esperar 10 segundos, se creó un segundo fichero con el nombre largo ‘4096_512_14_Seconds02’, en la misma carpeta, a las 09:18:19. A este segundo fichero se le asignó la entrada número 94001 en la MFT.

Después de esperar 300 segundos, se eliminó el fichero con el nombre ‘4096_512_14_Seconds01’ y, tras una espera de 14000 milisegundos, se renombró el fichero ‘4096_512_14_Seconds02’ a ‘4096_512_14_Seconds01’.

Tal y como puedes comprobar en los extractos de las tablas anteriores, el fichero ‘4096_512_14_Seconds01’, que ocupaba la entrada número 93893 en la MFT, ha sido eliminado y, el fichero ‘4096_512_14_Seconds02’, que ocupa la entrada 94001 en la MFT, ahora ha pasado a denominarse ‘4096_512_14_Seconds01’.

En lo referente a las marcas de tiempo, el fichero renombrado fue creado el día 02-06-2020 a las 09:18:19, (en color verde). Sin embargo, tal y como puedes comprobar, al renombrarlo con el mismo nombre de fichero que el eliminado, adquiere la fecha de creación de ese fichero eliminado, a las 09:18:09, (en color rojo), presentando, en las demás marcas de tiempo, la fecha original de creación del fichero. Esto indica que, en este caso, con un tiempo de espera de 14000 milisegundos, se ha generado un efecto túnel.

Crear un fichero ‘A’ en una carpeta; crear un fichero ‘B’, en la misma carpeta; eliminar el fichero ‘A’; y renombrar el fichero ‘B’ como ‘A’

· Crear un fichero ‘A’, de 512 bytes, con nombre largo

· Crear un fichero ‘B’, de 512 bytes, con nombre largo

· Eliminar el fichero ‘A’

· Establecer un tiempo de espera de 15000 milisegundos

· Renombrar el fichero ‘B’ a ‘A’

En esta prueba, tal y como puedes ver en la anterior imagen animada, se creó en el sistema un fichero con el nombre largo ‘4096_512_15_Seconds01’ en la carpeta ‘Test’, el día 02-06-2020 a las 09:25:51. A este fichero se le asignó la entrada número 93893 en la MFT. Tras esperar 10 segundos, se creó un segundo fichero con el nombre largo ‘4096_512_15_Seconds02’, en la misma carpeta, a las 09:26:01. A este segundo fichero se le asignó la entrada número 94000 en la MFT.

Después de esperar 300 segundos, se eliminó el fichero con el nombre ‘4096_512_15_Seconds01’ y, tras una espera de 15000 milisegundos, se renombró el fichero ‘4096_512_15_Seconds02’ a ‘4096_512_15_Seconds01’.

Tal y como puedes comprobar en los extractos de las tablas anteriores, el fichero ‘4096_512_15_Seconds01’, que ocupaba la entrada número 93893 en la MFT, ha sido eliminado y, el fichero ‘4096_512_15_Seconds02’, que ocupa la entrada 94000 en la MFT, ahora ha pasado a denominarse ‘4096_512_15_Seconds01’.

CCRR

Crear un fichero ‘A’ en una carpeta; crear un fichero ‘B’, en la misma carpeta; renombrar el fichero ‘A’ como ‘C’; y renombrar el fichero ‘B’ como ‘A’

· Crear un fichero ‘A’, de 512 bytes, con nombre largo

· Crear un fichero ‘B’, de 512 bytes, con nombre largo

· Renombrar el fichero ‘A’ como ‘C’

· Establecer un tiempo de espera de 14000 milisegundos

· Renombrar el fichero ‘B’ a ‘A’

En esta prueba, tal y como puedes ver en la anterior imagen animada, se creó en el sistema un fichero con el nombre largo ‘512-14-LFN01’ en la carpeta ‘Test’, el día 29-05-2020 a las 15:54:55. A este fichero se le asignó la entrada número 93893 en la MFT. Tras esperar 10 segundos, se creó un segundo fichero con el nombre largo ‘512-14-LFN02’, en la misma carpeta, a las 15:55:06. A este segundo fichero se le asignó la entrada número 93995 en la MFT.

Después de esperar 300 segundos, se renombró el fichero con el nombre ‘512-14-LFN01’ a ‘512-14-LFN03’ y, tras una espera de 14000 milisegundos, se renombró el fichero ‘512-14-LFN02’ a ‘512-14-LFN01’.

Tal y como puedes comprobar en los extractos de las tablas anteriores, el fichero ‘512-14-LFN01’, que ocupa la entrada número 93893 en la MFT, ha sido renombrado y sigue ocupando la misma entrada y, el fichero ‘512-14-LFN02’, que ocupa la entrada 93995 en la MFT, ahora ha pasado a denominarse ‘512-14-LFN01’.

En lo referente a las marcas de tiempo, el fichero renombrado de ‘512-14-LFN02’ a ‘512-14-LFN01’ fue creado el día 29-05-2020 a las 15:55:06, (en color verde). Sin embargo, tal y como puedes comprobar, al renombrarlo con el mismo nombre de fichero que el renombrado anteriormente a ‘512-14-LFN03’, adquiere la fecha de creación de ese fichero renombrado, a las 15:54:55, (en color rojo), presentando, en las demás marcas de tiempo, la fecha original de creación del fichero. Esto indica que, en este caso, con un tiempo de espera de 14000 milisegundos, se ha generado un efecto túnel.

Crear un fichero ‘A’ en una carpeta; crear un fichero ‘B’, en la misma carpeta; renombrar el fichero ‘A’ como ‘C’; y renombrar el fichero ‘B’ como ‘A’

· Crear un fichero ‘A’, de 512 bytes, con nombre largo

· Crear un fichero ‘B’, de 512 bytes, con nombre largo

· Renombrar el fichero ‘A’ como ‘C’

· Establecer un tiempo de espera de 15000 milisegundos

· Renombrar el fichero ‘B’ a ‘A’

En esta prueba, tal y como puedes ver en la anterior imagen animada, se creó en el sistema un fichero con el nombre largo ‘512-15-LFN01’ en la carpeta ‘Test’, el día 01-06-2020 a las 10:32:25. A este fichero se le asignó la entrada número 93893 en la MFT. Tras esperar 10 segundos, se creó un segundo fichero con el nombre largo ‘512-15-LFN02’, en la misma carpeta, a las 10:32:36. A este segundo fichero se le asignó la entrada número 94000 en la MFT.

Después de esperar 300 segundos, se renombró el fichero con el nombre ‘512-15-LFN01’ a ‘512-15-LFN03’ y, tras una espera de 15000 milisegundos, se renombró el fichero ‘512-15-LFN02’ a ‘512-15-LFN01’.

Tal y como puedes comprobar en los extractos de las tablas anteriores, el fichero ‘512-15-LFN01’, que ocupa la entrada número 93893 en la MFT, ha sido renombrado y sigue ocupando la misma entrada y, el fichero ‘512-15-LFN02’, que ocupa la entrada 94000 en la MFT, ahora ha pasado a denominarse ‘512-15-LFN01’.

Crear un fichero ‘A’ en una carpeta; crear un fichero ‘B’, en la misma carpeta; renombrar el fichero ‘A’ como ‘C’; y renombrar el fichero ‘B’ como ‘A’

· Crear un fichero ‘A’, de 512 bytes, con nombre largo

· Crear un fichero ‘B’, de 512 bytes, con nombre corto

· Renombrar el fichero ‘A’ como ‘C’

· Establecer un tiempo de espera de 14000 milisegundos

· Renombrar el fichero ‘B’ a ‘A’

En esta prueba, tal y como puedes ver en la anterior imagen animada, se creó en el sistema un fichero con el nombre largo ‘512-14-LFN01’ en la carpeta ‘Test’, el día 30-05-2020 a las 15:13:13. A este fichero se le asignó la entrada número 93893 en la MFT. Tras esperar 10 segundos, se creó un segundo fichero con el nombre corto ‘512-14~2’, que es el equivalente a un nombre corto 8.3, en la misma carpeta, a las 15:13:23. A este segundo fichero se le asignó la entrada número 93996 en la MFT.

Tal y como puedes comprobar en los extractos de las tablas anteriores, el fichero ‘512-14-LFN01’, que ocupa la entrada número 93893 en la MFT, ha sido renombrado y sigue ocupando la misma entrada y, el fichero ‘512-14~2’, que ocupa la entrada 93996 en la MFT, ahora ha pasado a denominarse ‘512-14-LFN01’.

En lo referente a las marcas de tiempo, el fichero renombrado de ‘512-14~2’ a ‘512-14-LFN01’ fue creado el día 30-05-2020 a las 15:13:23, (en color verde). Sin embargo, tal y como puedes comprobar, al renombrarlo con el mismo nombre de fichero que el renombrado anteriormente a ‘512-14-LFN03’, adquiere la fecha de creación de ese fichero renombrado, a las 15:13:13, (en color rojo), presentando, en las demás marcas de tiempo, la fecha original de creación del fichero. Esto indica que, en este caso, con un tiempo de espera de 14000 milisegundos, se ha generado un efecto túnel.

Crear un fichero ‘A’ en una carpeta; crear un fichero ‘B’, en la misma carpeta; renombrar el fichero ‘A’ como ‘C’; y renombrar el fichero ‘B’ como ‘A’

· Crear un fichero ‘A’, de 512 bytes, con nombre largo

· Crear un fichero ‘B’, de 512 bytes, con nombre corto

· Renombrar el fichero ‘A’ como ‘C’

· Establecer un tiempo de espera de 15000 milisegundos

· Renombrar el fichero ‘B’ a ‘A’

En esta prueba, tal y como puedes ver en la anterior imagen animada, se creó en el sistema un fichero con el nombre largo ‘512-15-LFN01’ en la carpeta ‘Test’, el día 02-06-2020 a las 09:56:02. A este fichero se le asignó la entrada número 93893 en la MFT. Tras esperar 10 segundos, se creó un segundo fichero con el nombre corto ‘512-15~2’, que es el equivalente a un nombre corto 8.3, en la misma carpeta, a las 09:56:11. A este segundo fichero se le asignó la entrada número 94001 en la MFT.

Tal y como puedes comprobar en los extractos de las tablas anteriores, el fichero ‘512-15-LFN01’, que ocupa la entrada número 93893 en la MFT, ha sido renombrado y sigue ocupando la misma entrada y, el fichero ‘512-15~2’, que ocupa la entrada 94000 en la MFT, ahora ha pasado a denominarse ‘512-15-LFN01’.

Crear un fichero ‘A’ en una carpeta; crear un fichero ‘B’, en la misma carpeta; renombrar el fichero ‘A’ como ‘C’; y renombrar el fichero ‘B’ como ‘A’

· Crear un fichero ‘A’, de 512 bytes, con nombre corto

· Crear un fichero ‘B’, de 512 bytes, con nombre corto

· Renombrar el fichero ‘A’ como ‘C’

· Establecer un tiempo de espera de 14000 milisegundos

· Renombrar el fichero ‘B’ a ‘A’

En esta prueba, tal y como puedes ver en la anterior imagen animada, se creó en el sistema un fichero con el nombre corto ‘512-14~1’ en la carpeta ‘Test’, el día 01-06-2020 a las 05:35:48. A este fichero se le asignó la entrada número 93893 en la MFT. Tras esperar 10 segundos, se creó un segundo fichero con el nombre corto ‘512-14~2’, en la misma carpeta, a las 05:35:58. A este segundo fichero se le asignó la entrada número 94000 en la MFT.

Después de esperar 300 segundos, se renombró el fichero con el nombre ‘512-14~1’ a ‘512-14~3’ y, tras una espera de 14000 milisegundos, se renombró el fichero ‘512-14~2’ a ‘512-14~1’.

Tal y como puedes comprobar en los extractos de las tablas anteriores, el fichero ‘512-14~1’, que ocupa la entrada número 93893 en la MFT, ha sido renombrado y sigue ocupando la misma entrada y, el fichero ‘512-14~2’, que ocupa la entrada 94000 en la MFT, ahora ha pasado a denominarse ‘512-14~1’.

En lo referente a las marcas de tiempo, el fichero renombrado de ‘512-14~2’ a ‘512-14~1’ fue creado el día 01-06-2020 a las 05:35:58, (en color verde). Sin embargo, tal y como puedes comprobar, al renombrarlo con el mismo nombre de fichero que el renombrado anteriormente a ‘512-14~3’, adquiere la fecha de creación de ese fichero renombrado, a las 05:35:48, (en color rojo), presentando, en las demás marcas de tiempo, la fecha original de creación del fichero. Esto indica que, en este caso, con un tiempo de espera de 14000 milisegundos, se ha generado un efecto túnel.

Crear un fichero ‘A’ en una carpeta; crear un fichero ‘B’, en la misma carpeta; renombrar el fichero ‘A’ como ‘C’; y renombrar el fichero ‘B’ como ‘A’

· Crear un fichero ‘A’, de 512 bytes, con nombre corto

· Crear un fichero ‘B’, de 512 bytes, con nombre corto

· Renombrar el fichero ‘A’ como ‘C’

· Establecer un tiempo de espera de 15000 milisegundos

· Renombrar el fichero ‘B’ a ‘A’

En esta prueba, tal y como puedes ver en la anterior imagen animada, se creó en el sistema un fichero con el nombre largo ‘512-14~1’ en la carpeta ‘Test’, el día 02-06-2020 a las 10:27:39. A este fichero se le asignó la entrada número 93893 en la MFT. Tras esperar 10 segundos, se creó un segundo fichero con el nombre corto ‘512-14~2’, en la misma carpeta, a las 10:27:49. A este segundo fichero se le asignó la entrada número 94002 en la MFT.

Después de esperar 300 segundos, se renombró el fichero con el nombre ‘512-15~1’ a ‘512-15~3’ y, tras una espera de 15000 milisegundos, se renombró el fichero ‘512-15~2’ a ‘512-15~1’.

Tal y como puedes comprobar en los extractos de las tablas anteriores, el fichero ‘512-15~1’, que ocupa la entrada número 93893 en la MFT, ha sido renombrado y sigue ocupando la misma entrada y, el fichero ‘512-15~2’, que ocupa la entrada 94002 en la MFT, ahora ha pasado a denominarse ‘512-15~1’.

Crear un fichero ‘A’ en una carpeta; crear un fichero ‘B’, en la misma carpeta; renombrar el fichero ‘A’ como ‘C’; y renombrar el fichero ‘B’ como ‘A’

· Crear un fichero ‘A’, de 512 bytes, con nombre largo

· Crear un fichero ‘B’, de 4096 bytes, con nombre largo

· Renombrar el fichero ‘A’ como ‘C’

· Establecer un tiempo de espera de 14000 milisegundos

· Renombrar el fichero ‘B’ a ‘A’

En esta prueba, tal y como puedes ver en la anterior imagen animada, se creó en el sistema un fichero con el nombre largo ‘512-14-LFN01’ en la carpeta ‘Test’, el día 31-05-2020 a las 14:29:32. A este fichero se le asignó la entrada número 93893 en la MFT. Tras esperar 10 segundos, se creó un segundo fichero con el nombre largo ‘512-14-LFN02’, en la misma carpeta, a las 14:29:42. A este segundo fichero se le asignó la entrada número 94000 en la MFT.

Tal y como puedes comprobar en los extractos de las tablas anteriores, el fichero ‘512-14-LFN01’, que ocupa la entrada número 93893 en la MFT, ha sido renombrado y sigue ocupando la misma entrada y, el fichero ‘512-14-LFN02’, que ocupa la entrada 94000 en la MFT, ahora ha pasado a denominarse ‘512-14-LFN01’.

En lo referente a las marcas de tiempo, el fichero renombrado de ‘512-14-LFN02’ a ‘512-14-LFN01’ fue creado el día 31-05-2020 a las 14:29:42, (en color verde). Sin embargo, tal y como puedes comprobar, al renombrarlo con el mismo nombre de fichero que el renombrado anteriormente a ‘512-14-LFN03’, adquiere la fecha de creación de ese fichero renombrado, a las 14:29:32, (en color rojo), presentando, en las demás marcas de tiempo, la fecha original de creación del fichero. Esto indica que, en este caso, con un tiempo de espera de 14000 milisegundos, se ha generado un efecto túnel.

Crear un fichero ‘A’ en una carpeta; crear un fichero ‘B’, en la misma carpeta; renombrar el fichero ‘A’ como ‘C’; y renombrar el fichero ‘B’ como ‘A’

· Crear un fichero ‘A’, de 512 bytes, con nombre largo

· Crear un fichero ‘B’, de 4096 bytes, con nombre largo

· Renombrar el fichero ‘A’ como ‘C’

· Establecer un tiempo de espera de 15000 milisegundos

· Renombrar el fichero ‘B’ a ‘A’

En esta prueba, tal y como puedes ver en la anterior imagen animada, se creó en el sistema un fichero con el nombre largo ‘512-15-LFN01’ en la carpeta ‘Test’, el día 02-06-2020 a las 10:05:54. A este fichero se le asignó la entrada número 93893 en la MFT. Tras esperar 10 segundos, se creó un segundo fichero con el nombre largo ‘512-15-LFN02’, en la misma carpeta, a las 10:06:04. A este segundo fichero se le asignó la entrada número 94000 en la MFT.

Crear un fichero ‘A’ en una carpeta; crear un fichero ‘B’, en la misma carpeta; renombrar el fichero ‘A’ como ‘C’; y renombrar el fichero ‘B’ como ‘A’

· Crear un fichero ‘A’, de 4096 bytes, con nombre largo

· Crear un fichero ‘B’, de 512 bytes, con nombre largo

· Renombrar el fichero ‘A’ como ‘C’

· Establecer un tiempo de espera de 14000 milisegundos

· Renombrar el fichero ‘B’ a ‘A’

En esta prueba, tal y como puedes ver en la anterior imagen animada, se creó en el sistema un fichero con el nombre largo ‘512-14-LFN01’ en la carpeta ‘Test’, el día 02-06-2020 a las 11:21:07. A este fichero se le asignó la entrada número 93893 en la MFT. Tras esperar 10 segundos, se creó un segundo fichero con el nombre largo ‘512-14-LFN02’, en la misma carpeta, a las 11:21:17. A este segundo fichero se le asignó la entrada número 94000 en la MFT.

Tal y como puedes comprobar en los extractos de las tablas anteriores, el fichero ‘512-14-LFN01’, que ocupa la entrada número 93893 en la MFT, ha sido renombrado y sigue ocupando la misma entrada y, el fichero ‘512-14-LFN02’, que ocupa la entrada 94000 en la MFT, ahora ha pasado a denominarse ‘512-14-LFN01’.

En lo referente a las marcas de tiempo, el fichero renombrado de ‘512-14-LFN02’ a ‘512-14-LFN01’ fue creado el día 02-06-2020 a las 11:21:17, (en color verde). Sin embargo, tal y como puedes comprobar, al renombrarlo con el mismo nombre de fichero que el renombrado anteriormente a ‘512-14-LFN03’, adquiere la fecha de creación de ese fichero renombrado, a las 11:21:07, (en color rojo), presentando, en las demás marcas de tiempo, la fecha original de creación del fichero. Esto indica que, en este caso, con un tiempo de espera de 14000 milisegundos, se ha generado un efecto túnel.

Crear un fichero ‘A’ en una carpeta; crear un fichero ‘B’, en la misma carpeta; renombrar el fichero ‘A’ como ‘C’; y renombrar el fichero ‘B’ como ‘A’

· Crear un fichero ‘A’, de 4096 bytes, con nombre largo

· Crear un fichero ‘B’, de 512 bytes, con nombre largo

· Renombrar el fichero ‘A’ como ‘C’

· Establecer un tiempo de espera de 15000 milisegundos

· Renombrar el fichero ‘B’ a ‘A’

En esta prueba, tal y como puedes ver en la anterior imagen animada, se creó en el sistema un fichero con el nombre largo ‘512-15-LFN01’ en la carpeta ‘Test’, el día 02-06-2020 a las 11:29:49. A este fichero se le asignó la entrada número 93893 en la MFT. Tras esperar 10 segundos, se creó un segundo fichero con el nombre largo ‘512-15-LFN02’, en la misma carpeta, a las 11:29:59. A este segundo fichero se le asignó la entrada número 94000 en la MFT.

CDC

Crear un fichero ‘A’ en una carpeta; eliminar el fichero ‘A’; y volver a crear un fichero ‘A’, en la misma carpeta

· Crear un fichero ‘A’, de 512 bytes, con nombre largo

· Eliminar el fichero ‘A’

· Establecer un tiempo de espera de 14000 milisegundos

· Volver a crear un fichero ‘A’, de 512 bytes, con nombre largo, en la misma carpeta

En esta prueba, tal y como puedes ver en la anterior imagen animada, se creó en el sistema un fichero con el nombre largo ‘512-14-LFN’ en la carpeta ‘Test’, el día 29-05-2020 a las 17:27:12. A este fichero se le asignó la entrada número 93893 en la MFT.

Después de esperar 300 segundos, se eliminó el fichero con el nombre ‘512-14-LFN’ y, tras una espera de 14000 milisegundos, se volvió a crear otro fichero del mismo tamaño, en la misma carpeta, con el nombre ‘512-14-LFN’.

Tal y como puedes comprobar en los extractos de las tablas anteriores, el fichero ‘512-14-LFN’, que ocupaba la entrada número 93893 en la MFT, ha sido eliminado. Del mismo modo, se ha creado el fichero ‘512-14-LFN’, que ocupa la entrada 93011 en la MFT.

En lo referente a las marcas de tiempo, el último fichero creado, que ocupa la entrada número 93011, fue creado el día 29-05-2020 a las 17:32:26. Sin embargo, tal y como puedes comprobar, al crearlo con el mismo nombre de fichero que el eliminado anteriormente, adquiere la fecha de creación de ese fichero eliminado, a las 17:27:12, (en color rojo), presentando, en las demás marcas de tiempo, la fecha original de creación del fichero. Esto indica que, en este caso, con un tiempo de espera de 14000 milisegundos, se ha generado un efecto túnel.

Crear un fichero ‘A’ en una carpeta; eliminar el fichero ‘A’; y volver a crear un fichero ‘A’, en la misma carpeta

· Crear un fichero ‘A’, de 512 bytes, con nombre largo

· Eliminar el fichero ‘A’

· Establecer un tiempo de espera de 15000 milisegundos

· Volver a crear un fichero ‘A’, de 512 bytes, con nombre largo, en la misma carpeta

En esta prueba, tal y como puedes ver en la anterior imagen animada, se creó en el sistema un fichero con el nombre largo ‘512-15-LFN’ en la carpeta ‘Test’, el día 01-06-2020 a las 15:51:03. A este fichero se le asignó la entrada número 93893 en la MFT.

Después de esperar 300 segundos, se eliminó el fichero con el nombre ‘512-15-LFN’ y, tras una espera de 15000 milisegundos, se volvió a crear otro fichero del mismo tamaño, en la misma carpeta, con el nombre ‘512-15-LFN’.

Tal y como puedes comprobar en los extractos de las tablas anteriores, el fichero ‘512-15-LFN’, que ocupaba la entrada número 93893 en la MFT, ha sido eliminado y ya no se encuentra disponible en la MFT, al haber sido, dicha entrada, reemplazada por otra que pertenece, ahora, al fichero ‘ht_settings.ini’, de la aplicación Active Disk Editor, a las 15:57:26. Del mismo modo, se ha creado el fichero ‘512-15-LFN’, que ocupa la entrada 93751 en la MFT.

En lo referente a las marcas de tiempo, se muestran las fechas originales para el fichero recién creado, por lo que, con un tiempo de espera de 15000 milisegundos, no se ha generado un efecto túnel.

Crear un fichero ‘A’ en una carpeta; eliminar el fichero ‘A’; y volver a crear un fichero ‘A’, en la misma carpeta

· Crear un fichero ‘A’, de 512 bytes, con nombre largo

· Eliminar el fichero ‘A’

· Establecer un tiempo de espera de 14000 milisegundos

· Volver a crear un fichero ‘A’, de 512 bytes, con nombre corto, en la misma carpeta

En esta prueba, tal y como puedes ver en la anterior imagen animada, se creó en el sistema un fichero con el nombre largo ‘512-14-LFN’ en la carpeta ‘Test’, el día 31-05-2020 a las 05:27:08. A este fichero se le asignó la entrada número 93893 en la MFT.

Tal y como puedes comprobar en los extractos de las tablas anteriores, el fichero ‘512-14-LFN’, que ocupaba la entrada número 93893 en la MFT, ha sido eliminado y ya no se encuentra disponible en la MFT, al haber sido, dicha entrada, reemplazada por otra que pertenece, ahora, al fichero ‘ht_settings.ini’, de la aplicación Active Disk Editor, a las 15:57:26. Del mismo modo, se ha creado el fichero ‘512-14~1’, que ocupa la entrada 93751 en la MFT.

En lo referente a las marcas de tiempo, se muestran las fechas originales para el fichero recién creado, por lo que, con un tiempo de espera de 14000 milisegundos, no se ha generado un efecto túnel.

Crear un fichero ‘A’ en una carpeta; eliminar el fichero ‘A’; y volver a crear un fichero ‘A’, en la misma carpeta

· Crear un fichero ‘A’, de 512 bytes, con nombre corto

· Eliminar el fichero ‘A’

· Establecer un tiempo de espera de 14000 milisegundos

· Volver a crear un fichero ‘A’, de 512 bytes, con nombre corto, en la misma carpeta

Después de esperar 300 segundos, se eliminó el fichero con el nombre ‘512-14~1’ y, tras una espera de 14000 milisegundos, se volvió a crear otro fichero del mismo tamaño, en la misma carpeta, con el nombre corto ‘512-14~1’.

Tal y como puedes comprobar en los extractos de las tablas anteriores, el fichero ‘512-14~1’, que ocupaba la entrada número 93893 en la MFT, ha sido eliminado y ya no se encuentra disponible en la MFT, al haber sido, dicha entrada, reemplazada por otra que pertenece, ahora, al fichero ‘ht_settings.ini’, de la aplicación Active Disk Editor, a las 05:51:30. Del mismo modo, se ha creado el fichero ‘512-14~1’, que ocupa la entrada 93750 en la MFT.

En lo referente a las marcas de tiempo, el último fichero creado, que ocupa la entrada número 93750, fue creado el día 01-06-2020 a las 05:50:40. Sin embargo, tal y como puedes comprobar, al crearlo con el mismo nombre de fichero que el eliminado anteriormente, adquiere la fecha de creación de ese fichero eliminado, a las 05:45:26, (en color rojo), presentando, en las demás marcas de tiempo, la fecha original de creación del fichero. Esto indica que, en este caso, con un tiempo de espera de 14000 milisegundos, se ha generado un efecto túnel.

Crear un fichero ‘A’ en una carpeta; eliminar el fichero ‘A’; y volver a crear un fichero ‘A’, en la misma carpeta

· Crear un fichero ‘A’, de 512 bytes, con nombre corto

· Eliminar el fichero ‘A’

· Establecer un tiempo de espera de 15000 milisegundos

· Volver a crear un fichero ‘A’, de 512 bytes, con nombre corto, en la misma carpeta

Después de esperar 300 segundos, se eliminó el fichero con el nombre ‘512-15~1’ y, tras una espera de 15000 milisegundos, se volvió a crear otro fichero del mismo tamaño, en la misma carpeta, con el nombre corto ‘512-15~1’.

Tal y como puedes comprobar en los extractos de las tablas anteriores, el fichero ‘512-15~1’, que ocupaba la entrada número 93893 en la MFT, ha sido eliminado y ya no se encuentra disponible en la MFT, al haber sido, dicha entrada, reemplazada por otra que pertenece, ahora, al fichero ‘ht_settings.ini’, de la aplicación Active Disk Editor, a las 16:06:20. Del mismo modo, se ha creado el fichero ‘512-15~1’, que ocupa la entrada 93011 en la MFT.

Crear un fichero ‘A’ en una carpeta; eliminar el fichero ‘A’; y volver a crear un fichero ‘A’, en la misma carpeta

· Crear un fichero ‘A’, de 512 bytes, con nombre largo

· Eliminar el fichero ‘A’

· Establecer un tiempo de espera de 14000 milisegundos

· Volver a crear un fichero ‘A’, de 4096 bytes, con nombre largo, en la misma carpeta

En esta prueba, tal y como puedes ver en la anterior imagen animada, se creó en el sistema un fichero con el nombre largo ‘512_4096_14_Seconds’ en la carpeta ‘Test’, el día 31-05-2020 a las 14:39:16. A este fichero se le asignó la entrada número 93893 en la MFT.

Después de esperar 300 segundos, se eliminó el fichero con el nombre ‘512_4096_14_Seconds’ y, tras una espera de 14000 milisegundos, se volvió a crear otro fichero del mismo tamaño, en la misma carpeta, con el nombre ‘512_4096_14_Seconds’.

Tal y como puedes comprobar en los extractos de las tablas anteriores, el fichero ‘512_4096_14_Seconds’, que ocupaba la entrada número 93893 en la MFT, ha sido eliminado. Del mismo modo, se ha creado el fichero ‘512_4096_14_Seconds’, que ocupa la entrada 92614 en la MFT.

En lo referente a las marcas de tiempo, el último fichero creado, que ocupa la entrada número 92614, fue creado el día 31-05-2020 a las 14:44:30. Sin embargo, tal y como puedes comprobar, al crearlo con el mismo nombre de fichero que el eliminado anteriormente, adquiere la fecha de creación de ese fichero eliminado, a las 14:39:16, (en color rojo), presentando, en las demás marcas de tiempo, la fecha original de creación del fichero. Esto indica que, en este caso, con un tiempo de espera de 14000 milisegundos, se ha generado un efecto túnel.

Crear un fichero ‘A’ en una carpeta; eliminar el fichero ‘A’; y volver a crear un fichero ‘A’, en la misma carpeta

· Crear un fichero ‘A’, de 512 bytes, con nombre largo

· Eliminar el fichero ‘A’

· Establecer un tiempo de espera de 15000 milisegundos

· Volver a crear un fichero ‘A’, de 4096 bytes, con nombre largo, en la misma carpeta

En esta prueba, tal y como puedes ver en la anterior imagen animada, se creó en el sistema un fichero con el nombre largo ‘512_4096_15_Seconds’ en la carpeta ‘Test’, el día 02-06-2020 a las 15:50:46. A este fichero se le asignó la entrada número 93893 en la MFT.

Después de esperar 300 segundos, se eliminó el fichero con el nombre ‘512_4096_15_Seconds’ y, tras una espera de 15000 milisegundos, se volvió a crear otro fichero del mismo tamaño, en la misma carpeta, con el nombre ‘512_4096_15_Seconds’.

Tal y como puedes comprobar en los extractos de las tablas anteriores, el fichero ‘512_4096_15_Seconds’, que ocupaba la entrada número 93893 en la MFT, ha sido eliminado y ya no se encuentra disponible en la MFT, al haber sido, dicha entrada, reemplazada por otra que pertenece, ahora, al fichero ‘ht_settings.ini’, de la aplicación Active Disk Editor, a las 15:57:04. Del mismo modo, se ha creado el fichero ‘512_4096_15_Seconds’, que ocupa la entrada 93751 en la MFT.

Crear un fichero ‘A’ en una carpeta; eliminar el fichero ‘A’; y volver a crear un fichero ‘A’, en la misma carpeta

· Crear un fichero ‘A’, de 4096 bytes, con nombre largo

· Eliminar el fichero ‘A’

· Establecer un tiempo de espera de 14000 milisegundos

· Volver a crear un fichero ‘A’, de 512 bytes, con nombre largo, en la misma carpeta

En esta prueba, tal y como puedes ver en la anterior imagen animada, se creó en el sistema un fichero con el nombre largo ‘4096_512_14_Seconds’ en la carpeta ‘Test’, el día 02-06-2020 a las 16:08:23. A este fichero se le asignó la entrada número 93893 en la MFT.

Después de esperar 300 segundos, se eliminó el fichero con el nombre ‘4096_512_14_Seconds’ y, tras una espera de 14000 milisegundos, se volvió a crear otro fichero del mismo tamaño, en la misma carpeta, con el nombre ‘4096_512_14_Seconds’.

Tal y como puedes comprobar en los extractos de las tablas anteriores, el fichero ‘4096_512_14_Seconds’, que ocupaba la entrada número 93893 en la MFT, ha sido eliminado y ya no se encuentra disponible en la MFT, al haber sido, dicha entrada, reemplazada por otra que pertenece, ahora, al fichero ‘ht_settings.ini’, de la aplicación Active Disk Editor, a las 16:14:48. Del mismo modo, se ha creado el fichero ‘4096_512_14_Seconds’, que ocupa la entrada 93750 en la MFT.

En lo referente a las marcas de tiempo, el último fichero creado, que ocupa la entrada número 93750, fue creado el día 02-06-2020 a las 16:13:37. Sin embargo, tal y como puedes comprobar, al crearlo con el mismo nombre de fichero que el eliminado anteriormente, adquiere la fecha de creación de ese fichero eliminado, a las 16:08:23, (en color rojo), presentando, en las demás marcas de tiempo, la fecha original de creación del fichero. Esto indica que, en este caso, con un tiempo de espera de 14000 milisegundos, se ha generado un efecto túnel.

Crear un fichero ‘A’ en una carpeta; eliminar el fichero ‘A’; y volver a crear un fichero ‘A’, en la misma carpeta

· Crear un fichero ‘A’, de 4096 bytes, con nombre largo

· Eliminar el fichero ‘A’

· Establecer un tiempo de espera de 15000 milisegundos

· Volver a crear un fichero ‘A’, de 512 bytes, con nombre largo, en la misma carpeta

En esta prueba, tal y como puedes ver en la anterior imagen animada, se creó en el sistema un fichero con el nombre largo ‘4096_512_15_Seconds’ en la carpeta ‘Test’, el día 02-06-2020 a las 16:16:20. A este fichero se le asignó la entrada número 93893 en la MFT.

Después de esperar 300 segundos, se eliminó el fichero con el nombre ‘4096_512_15_Seconds’ y, tras una espera de 15000 milisegundos, se volvió a crear otro fichero del mismo tamaño, en la misma carpeta, con el nombre ‘4096_512_15_Seconds’.

Tal y como puedes comprobar en los extractos de las tablas anteriores, el fichero ‘4096_512_15_Seconds’, que ocupaba la entrada número 93893 en la MFT, ha sido eliminado y ya no se encuentra disponible en la MFT, al haber sido, dicha entrada, reemplazada por otra que pertenece, ahora, al fichero ‘ht_settings.ini’, de la aplicación Active Disk Editor, a las 16:22:32. Del mismo modo, se ha creado el fichero ‘4096_512_15_Seconds’, que ocupa la entrada 93751 en la MFT.

CMC

Crear un fichero ‘A’ en una carpeta; mover el fichero ‘A’ a otra carpeta; y volver a crear un fichero ‘A’, en la misma carpeta original

· Crear un fichero ‘A’, de 512 bytes, con nombre largo

· mover el fichero ‘A’ a otra carpeta

· Establecer un tiempo de espera de 14000 milisegundos

· Volver a crear un fichero ‘A’, de 512 bytes, con nombre largo, en la misma carpeta original de creación

En esta prueba, tal y como puedes ver en la anterior imagen animada, se creó en el sistema un fichero con el nombre largo ‘512-14-LFN’ en la carpeta ‘Test’, el día 30-05-2020 a las 06:41:18. A este fichero se le asignó la entrada número 93893 en la MFT.

Después de esperar 300 segundos, se movió el fichero con el nombre ‘512-14-LFN’ a la carpeta ‘Moved’ y, tras una espera de 14000 milisegundos, se volvió a crear otro fichero del mismo tamaño, en la misma carpeta, con el nombre ‘512-14-LFN’.

Tal y como puedes comprobar en los extractos de las tablas anteriores, el fichero ‘512-14-LFN’, que ocupaba la entrada número 93893 en la MFT, ha sido movido. Del mismo modo, se ha creado el fichero ‘512-14-LFN’, que ocupa la entrada 93011 en la MFT.

En lo referente a las marcas de tiempo, el último fichero creado, que ocupa la entrada número 93011, fue creado el día 30-05-2020 a las 06:46:33. Sin embargo, tal y como puedes comprobar, al crearlo con el mismo nombre de fichero que el movido anteriormente, adquiere la fecha de creación de ese fichero movido, a las 06:41:18, (en color rojo), presentando, en las demás marcas de tiempo, la fecha original de creación del fichero. Esto indica que, en este caso, con un tiempo de espera de 14000 milisegundos, se ha generado un efecto túnel.

Crear un fichero ‘A’ en una carpeta; mover el fichero ‘A’ a otra carpeta; y volver a crear un fichero ‘A’, en la misma carpeta original

· Crear un fichero ‘A’, de 512 bytes, con nombre largo

· mover el fichero ‘A’ a otra carpeta

· Establecer un tiempo de espera de 15000 milisegundos

· Volver a crear un fichero ‘A’, de 512 bytes, con nombre largo, en la misma carpeta original de creación

En esta prueba, tal y como puedes ver en la anterior imagen animada, se creó en el sistema un fichero con el nombre largo ‘512-15-LFN’ en la carpeta ‘Test’, el día 01-06-2020 a las 10:53:41. A este fichero se le asignó la entrada número 93893 en la MFT.

Después de esperar 300 segundos, se movió el fichero con el nombre ‘512-15-LFN’ a la carpeta ‘Moved’ y, tras una espera de 15000 milisegundos, se volvió a crear otro fichero del mismo tamaño, en la misma carpeta, con el nombre ‘512-15-LFN’.

Tal y como puedes comprobar en los extractos de las tablas anteriores, el fichero ‘512-15-LFN’, que ocupaba la entrada número 93893 en la MFT, ha sido movido. Del mismo modo, se ha creado el fichero ‘512-15-LFN’, que ocupa la entrada 92614 en la MFT.

Crear un fichero ‘A’ en una carpeta; mover el fichero ‘A’ a otra carpeta; y volver a crear un fichero ‘A’, en la misma carpeta original

· Crear un fichero ‘A’, de 512 bytes, con nombre largo

· mover el fichero ‘A’ a otra carpeta

· Establecer un tiempo de espera de 14000 milisegundos

· Volver a crear un fichero ‘A’, de 512 bytes, con nombre corto, en la misma carpeta original de creación

En esta prueba, tal y como puedes ver en la anterior imagen animada, se creó en el sistema un fichero con el nombre largo ‘512-14-LFN’ en la carpeta ‘Test’, el día 31-05-2020 a las 05:35:37. A este fichero se le asignó la entrada número 93893 en la MFT.

Crear un fichero ‘A’ en una carpeta; mover el fichero ‘A’ a otra carpeta; y volver a crear un fichero ‘A’, en la misma carpeta original

· Crear un fichero ‘A’, de 512 bytes, con nombre largo

· mover el fichero ‘A’ a otra carpeta

· Establecer un tiempo de espera de 14000 milisegundos

· Volver a crear un fichero ‘A’, de 512 bytes, con nombre corto, en la misma carpeta original de creación

Después de esperar 300 segundos, se movió el fichero con el nombre ‘512-14~1’ a la carpeta ‘Moved’ y, tras una espera de 14000 milisegundos, se volvió a crear otro fichero del mismo tamaño, en la misma carpeta, con el nombre corto ‘512-14~1’.

Tal y como puedes comprobar en los extractos de las tablas anteriores, el fichero ‘512-14~1’, que ocupaba la entrada número 93893 en la MFT, ha sido movido. Del mismo modo, se ha creado el fichero ‘512-14~1’, que ocupa la entrada 93751 en la MFT.

En lo referente a las marcas de tiempo, el último fichero creado, que ocupa la entrada número 93751, fue creado el día 01-06-2020 a las 05:58:30. Sin embargo, tal y como puedes comprobar, al crearlo con el mismo nombre de fichero que el movido anteriormente, adquiere la fecha de creación de ese fichero movido, a las 05:53:16, (en color rojo), presentando, en las demás marcas de tiempo, la fecha original de creación del fichero. Esto indica que, en este caso, con un tiempo de espera de 14000 milisegundos, se ha generado un efecto túnel.

Crear un fichero ‘A’ en una carpeta; mover el fichero ‘A’ a otra carpeta; y volver a crear un fichero ‘A’, en la misma carpeta original

· Crear un fichero ‘A’, de 512 bytes, con nombre corto

· mover el fichero ‘A’ a otra carpeta

· Establecer un tiempo de espera de 15000 milisegundos

· Volver a crear un fichero ‘A’, de 512 bytes, con nombre corto, en la misma carpeta original de creación

Después de esperar 300 segundos, se movió el fichero con el nombre ‘512-15~1’ a la carpeta ‘Moved’ y, tras una espera de 15000 milisegundos, se volvió a crear otro fichero del mismo tamaño, en la misma carpeta, con el nombre corto ‘512-15~1’.

Tal y como puedes comprobar en los extractos de las tablas anteriores, el fichero ‘512-15~1’, que ocupaba la entrada número 93893 en la MFT, ha sido movido. Del mismo modo, se ha creado el fichero ‘512-15~1’, que ocupa la entrada 93750 en la MFT.

Crear un fichero ‘A’ en una carpeta; mover el fichero ‘A’ a otra carpeta; y volver a crear un fichero ‘A’, en la misma carpeta original

· Crear un fichero ‘A’, de 512 bytes, con nombre largo

· mover el fichero ‘A’ a otra carpeta

· Establecer un tiempo de espera de 14000 milisegundos

· Volver a crear un fichero ‘A’, de 4096 bytes, con nombre largo, en la misma carpeta original de creación

En esta prueba, tal y como puedes ver en la anterior imagen animada, se creó en el sistema un fichero con el nombre largo ‘512_4096_14_Seconds’ en la carpeta ‘Test’, el día 31-05-2020 a las 18:06:41. A este fichero se le asignó la entrada número 93893 en la MFT.

Después de esperar 300 segundos, se movió el fichero con el nombre ‘512_4096_14_Seconds’ a la carpeta ‘Moved’ y, tras una espera de 14000 milisegundos, se volvió a crear otro fichero del mismo tamaño, en la misma carpeta, con el nombre largo ‘512_4096_14_Seconds’.

Tal y como puedes comprobar en los extractos de las tablas anteriores, el fichero ‘512_4096_14_Seconds’, que ocupaba la entrada número 93893 en la MFT, ha sido movido. Del mismo modo, se ha creado el fichero ‘512_4096_14_Seconds’, que ocupa la entrada 93750 en la MFT.

En lo referente a las marcas de tiempo, el último fichero creado, que ocupa la entrada número 93750, fue creado el día 31-05-2020 a las 18:11:55. Sin embargo, tal y como puedes comprobar, al crearlo con el mismo nombre de fichero que el movido anteriormente, adquiere la fecha de creación de ese fichero movido, a las 18:06:41, (en color rojo), presentando, en las demás marcas de tiempo, la fecha original de creación del fichero. Esto indica que, en este caso, con un tiempo de espera de 14000 milisegundos, se ha generado un efecto túnel.

Crear un fichero ‘A’ en una carpeta; mover el fichero ‘A’ a otra carpeta; y volver a crear un fichero ‘A’, en la misma carpeta original

· Crear un fichero ‘A’, de 512 bytes, con nombre largo

· mover el fichero ‘A’ a otra carpeta

· Establecer un tiempo de espera de 15000 milisegundos

· Volver a crear un fichero ‘A’, de 4096 bytes, con nombre largo, en la misma carpeta original de creación

En esta prueba, tal y como puedes ver en la anterior imagen animada, se creó en el sistema un fichero con el nombre largo ‘512_4096_15_Seconds’ en la carpeta ‘Test’, el día 02-06-2020 a las 16:43:24. A este fichero se le asignó la entrada número 93893 en la MFT.

Después de esperar 300 segundos, se movió el fichero con el nombre ‘512_4096_15_Seconds’ a la carpeta ‘Moved’ y, tras una espera de 15000 milisegundos, se volvió a crear otro fichero del mismo tamaño, en la misma carpeta, con el nombre corto ‘512_4096_15_Seconds’.

Tal y como puedes comprobar en los extractos de las tablas anteriores, el fichero ‘512_4096_15_Seconds’, que ocupaba la entrada número 93893 en la MFT, ha sido movido. Del mismo modo, se ha creado el fichero ‘512_4096_15_Seconds’, que ocupa la entrada 93751 en la MFT.

Crear un fichero ‘A’ en una carpeta; mover el fichero ‘A’ a otra carpeta; y volver a crear un fichero ‘A’, en la misma carpeta original

· Crear un fichero ‘A’, de 4096 bytes, con nombre largo

· mover el fichero ‘A’ a otra carpeta

· Establecer un tiempo de espera de 14000 milisegundos

· Volver a crear un fichero ‘A’, de 512 bytes, con nombre largo, en la misma carpeta original de creación

En esta prueba, tal y como puedes ver en la anterior imagen animada, se creó en el sistema un fichero con el nombre largo ‘4096_512_14_Seconds’ en la carpeta ‘Test’, el día 02-06-2020 a las 17:00:12. A este fichero se le asignó la entrada número 93893 en la MFT.

Después de esperar 300 segundos, se movió el fichero con el nombre ‘4096_512_14_Seconds’ a la carpeta ‘Moved’ y, tras una espera de 14000 milisegundos, se volvió a crear otro fichero del mismo tamaño, en la misma carpeta, con el nombre largo ‘4096_512_14_Seconds’.

Tal y como puedes comprobar en los extractos de las tablas anteriores, el fichero ‘4096_512_14_Seconds’, que ocupaba la entrada número 93893 en la MFT, ha sido movido. Del mismo modo, se ha creado el fichero ‘4096_512_14_Seconds’, que ocupa la entrada 93751 en la MFT.

En lo referente a las marcas de tiempo, el último fichero creado, que ocupa la entrada número 93751, fue creado el día 02-06-2020 a las 17:05:26. Sin embargo, tal y como puedes comprobar, al crearlo con el mismo nombre de fichero que el movido anteriormente, adquiere la fecha de creación de ese fichero movido, a las 17:00:12, (en color rojo), presentando, en las demás marcas de tiempo, la fecha original de creación del fichero. Esto indica que, en este caso, con un tiempo de espera de 14000 milisegundos, se ha generado un efecto túnel.

Crear un fichero ‘A’ en una carpeta; mover el fichero ‘A’ a otra carpeta; y volver a crear un fichero ‘A’, en la misma carpeta original

· Crear un fichero ‘A’, de 4096 bytes, con nombre largo

· mover el fichero ‘A’ a otra carpeta

· Establecer un tiempo de espera de 15000 milisegundos

· Volver a crear un fichero ‘A’, de 512 bytes, con nombre largo, en la misma carpeta original de creación

En esta prueba, tal y como puedes ver en la anterior imagen animada, se creó en el sistema un fichero con el nombre largo ‘4096_512_15_Seconds’ en la carpeta ‘Test’, el día 02-06-2020 a las 17:09:15. A este fichero se le asignó la entrada número 93893 en la MFT.

Después de esperar 300 segundos, se movió el fichero con el nombre ‘4096_512_15_Seconds’ a la carpeta ‘Moved’ y, tras una espera de 15000 milisegundos, se volvió a crear otro fichero del mismo tamaño, en la misma carpeta, con el nombre corto ‘4096_512_15_Seconds’.

Tal y como puedes comprobar en los extractos de las tablas anteriores, el fichero ‘4096_512_15_Seconds’, que ocupaba la entrada número 93893 en la MFT, ha sido movido. Del mismo modo, se ha creado el fichero ‘4096_512_15_Seconds’, que ocupa la entrada 93750 en la MFT.

CRC

Crear un fichero ‘A’ en una carpeta; renombrar el fichero ‘A’; y volver a crear un fichero ‘A’, en la misma carpeta original

· Crear un fichero ‘A’, de 512 bytes, con nombre largo

· renombrar el fichero ‘A’

· Establecer un tiempo de espera de 14000 milisegundos

· Volver a crear un fichero ‘A’, de 512 bytes, con nombre largo, en la misma carpeta original de creación

En esta prueba, tal y como puedes ver en la anterior imagen animada, se creó en el sistema un fichero con el nombre largo ‘512-14-LFN’ en la carpeta ‘Test’, el día 30-05-2020 a las 11:15:16. A este fichero se le asignó la entrada número 93893 en la MFT.

Después de esperar 300 segundos, se renombró el fichero con el nombre ‘512-14-LFN’ y, tras una espera de 14000 milisegundos, se volvió a crear otro fichero del mismo tamaño, en la misma carpeta, con el nombre ‘512-14-LFN’.

Tal y como puedes comprobar en los extractos de las tablas anteriores, el fichero ‘512-14-LFN’, que ocupaba la entrada número 93893 en la MFT, ha sido renombrado a ‘New_512-14-LFN’. Del mismo modo, se ha creado el fichero ‘512-14-LFN’, que ocupa la entrada 92614 en la MFT.

En lo referente a las marcas de tiempo, el último fichero creado, que ocupa la entrada número 92614, fue creado el día 30-05-2020 a las 11:20:30. Sin embargo, tal y como puedes comprobar, al crearlo con el mismo nombre de fichero que renombrado anteriormente, adquiere la fecha de creación de ese fichero renombrado, a las 11:15:16, (en color rojo), presentando, en las demás marcas de tiempo, la fecha original de creación del fichero. Esto indica que, en este caso, con un tiempo de espera de 14000 milisegundos, se ha generado un efecto túnel.

Crear un fichero ‘A’ en una carpeta; renombrar el fichero ‘A’; y volver a crear un fichero ‘A’, en la misma carpeta original

· Crear un fichero ‘A’, de 512 bytes, con nombre largo

· renombrar el fichero ‘A’

· Establecer un tiempo de espera de 15000 milisegundos

· Volver a crear un fichero ‘A’, de 512 bytes, con nombre largo, en la misma carpeta original de creación

En esta prueba, tal y como puedes ver en la anterior imagen animada, se creó en el sistema un fichero con el nombre largo ‘512-15-LFN’ en la carpeta ‘Test’, el día 01-06-2020 a las 11:03:37. A este fichero se le asignó la entrada número 93893 en la MFT.

Después de esperar 300 segundos, se renombró el fichero con el nombre ‘512-15-LFN’ y, tras una espera de 15000 milisegundos, se volvió a crear otro fichero del mismo tamaño, en la misma carpeta, con el nombre ‘512-15-LFN’.

Tal y como puedes comprobar en los extractos de las tablas anteriores, el fichero ‘512-15-LFN’, que ocupaba la entrada número 93893 en la MFT, ha sido renombrado a ‘New_512-15-LFN’. Del mismo modo, se ha creado el fichero ‘512-15-LFN’, que ocupa la entrada 92614 en la MFT.

Crear un fichero ‘A’ en una carpeta; renombrar el fichero ‘A’; y volver a crear un fichero ‘A’, en la misma carpeta original

· Crear un fichero ‘A’, de 512 bytes, con nombre largo

· renombrar el fichero ‘A’

· Establecer un tiempo de espera de 14000 milisegundos

· Volver a crear un fichero ‘A’, de 512 bytes, con nombre corto, en la misma carpeta original de creación

En esta prueba, tal y como puedes ver en la anterior imagen animada, se creó en el sistema un fichero con el nombre largo ‘512-14-LFN’ en la carpeta ‘Test’, el día 31-05-2020 a las 05:44:22. A este fichero se le asignó la entrada número 93893 en la MFT.

Tal y como puedes comprobar en los extractos de las tablas anteriores, el fichero ‘512-15-LFN’, que ocupaba la entrada número 93893 en la MFT, ha sido renombrado a ‘New_512-14-LFN’. Del mismo modo, se ha creado el fichero ‘512-14~1’, que ocupa la entrada 93750 en la MFT.

Crear un fichero ‘A’ en una carpeta; renombrar el fichero ‘A’; y volver a crear un fichero ‘A’, en la misma carpeta original

· Crear un fichero ‘A’, de 512 bytes, con nombre corto

· renombrar el fichero ‘A’

· Establecer un tiempo de espera de 14000 milisegundos

· Volver a crear un fichero ‘A’, de 512 bytes, con nombre corto, en la misma carpeta original de creación

Después de esperar 300 segundos, se renombró el fichero con el nombre ‘512-14~1’ y, tras una espera de 14000 milisegundos, se volvió a crear otro fichero del mismo tamaño, en la misma carpeta, con el nombre ‘512-14~1’.

Tal y como puedes comprobar en los extractos de las tablas anteriores, el fichero ‘512-14~1’, que ocupaba la entrada número 93893 en la MFT, ha sido renombrado a ‘N51214LFN’. Del mismo modo, se ha creado el fichero ‘512-14~1’, que ocupa la entrada 92614 en la MFT.

En lo referente a las marcas de tiempo, el último fichero creado, que ocupa la entrada número 92614, fue creado el día 01-06-2020 a las 06:07:53. Sin embargo, tal y como puedes comprobar, al crearlo con el mismo nombre de fichero que renombrado anteriormente, adquiere la fecha de creación de ese fichero renombrado, a las 06:02:39, (en color rojo), presentando, en las demás marcas de tiempo, la fecha original de creación del fichero. Esto indica que, en este caso, con un tiempo de espera de 14000 milisegundos, se ha generado un efecto túnel.

Crear un fichero ‘A’ en una carpeta; renombrar el fichero ‘A’; y volver a crear un fichero ‘A’, en la misma carpeta original

· Crear un fichero ‘A’, de 512 bytes, con nombre corto

· renombrar el fichero ‘A’

· Establecer un tiempo de espera de 15000 milisegundos

· Volver a crear un fichero ‘A’, de 512 bytes, con nombre corto, en la misma carpeta original de creación

En esta prueba, tal y como puedes ver en la anterior imagen animada, se creó en el sistema un fichero con el nombre corto ‘512-15~1’ en la carpeta ‘Test’, el día 04-06-2020 a las 11:33:33. A este fichero se le asignó la entrada número 93893 en la MFT.

Después de esperar 300 segundos, se renombró el fichero con el nombre ‘512-15~1’ y, tras una espera de 15000 milisegundos, se volvió a crear otro fichero del mismo tamaño, en la misma carpeta, con el nombre ‘512-15~1’.

Tal y como puedes comprobar en los extractos de las tablas anteriores, el fichero ‘512-15~1’, que ocupaba la entrada número 93893 en la MFT, ha sido renombrado a ‘N51215LFN’. Del mismo modo, se ha creado el fichero ‘512-15~1’, que ocupa la entrada 93750 en la MFT.

Crear un fichero ‘A’ en una carpeta; renombrar el fichero ‘A’; y volver a crear un fichero ‘A’, en la misma carpeta original

· Crear un fichero ‘A’, de 512 bytes, con nombre largo

· renombrar el fichero ‘A’

· Establecer un tiempo de espera de 14000 milisegundos

· Volver a crear un fichero ‘A’, de 4096 bytes, con nombre largo, en la misma carpeta original de creación

En esta prueba, tal y como puedes ver en la anterior imagen animada, se creó en el sistema un fichero con el nombre largo ‘512_4096_14_Seconds’ en la carpeta ‘Test’, el día 31-05-2020 a las 14:58:26. A este fichero se le asignó la entrada número 93893 en la MFT.

Después de esperar 300 segundos, se renombró el fichero con el nombre ‘512_4096_14_Seconds’ y, tras una espera de 14000 milisegundos, se volvió a crear otro fichero del mismo tamaño, en la misma carpeta, con el nombre ‘512_4096_14_Seconds’.

Tal y como puedes comprobar en los extractos de las tablas anteriores, el fichero ‘512_4096_14_Seconds’, que ocupaba la entrada número 93893 en la MFT, ha sido renombrado a ‘New_512_4096_14_Seconds’. Del mismo modo, se ha creado el fichero ‘512_4096_14_Seconds’, que ocupa la entrada 92614 en la MFT.

En lo referente a las marcas de tiempo, el último fichero creado, que ocupa la entrada número 92614, fue creado el día 31-05-2020 a las 15:03:40. Sin embargo, tal y como puedes comprobar, al crearlo con el mismo nombre de fichero que renombrado anteriormente, adquiere la fecha de creación de ese fichero renombrado, a las 14:58:26, (en color rojo), presentando, en las demás marcas de tiempo, la fecha original de creación del fichero. Esto indica que, en este caso, con un tiempo de espera de 14000 milisegundos, se ha generado un efecto túnel.

Crear un fichero ‘A’ en una carpeta; renombrar el fichero ‘A’; y volver a crear un fichero ‘A’, en la misma carpeta original

· Crear un fichero ‘A’, de 512 bytes, con nombre largo

· renombrar el fichero ‘A’

· Establecer un tiempo de espera de 14000 milisegundos

· Volver a crear un fichero ‘A’, de 4096 bytes, con nombre largo, en la misma carpeta original de creación

En esta prueba, tal y como puedes ver en la anterior imagen animada, se creó en el sistema un fichero con el nombre largo ‘512_4096_15_Seconds’ en la carpeta ‘Test’, el día 04-06-2020 a las 10:25:28. A este fichero se le asignó la entrada número 93893 en la MFT.

Después de esperar 300 segundos, se renombró el fichero con el nombre ‘512_4096_15_Seconds’ y, tras una espera de 15000 milisegundos, se volvió a crear otro fichero del mismo tamaño, en la misma carpeta, con el nombre ‘512_4096_15_Seconds’.

Tal y como puedes comprobar en los extractos de las tablas anteriores, el fichero ‘512_4096_15_Seconds’, que ocupaba la entrada número 93893 en la MFT, ha sido renombrado a ‘New_512_4096_15_Seconds’. Del mismo modo, se ha creado el fichero ‘512_4096_15_Seconds’, que ocupa la entrada 92614 en la MFT.

Crear un fichero ‘A’ en una carpeta; renombrar el fichero ‘A’; y volver a crear un fichero ‘A’, en la misma carpeta original

· Crear un fichero ‘A’, de 4096 bytes, con nombre largo

· renombrar el fichero ‘A’

· Establecer un tiempo de espera de 14000 milisegundos

· Volver a crear un fichero ‘A’, de 512 bytes, con nombre largo, en la misma carpeta original de creación

En esta prueba, tal y como puedes ver en la anterior imagen animada, se creó en el sistema un fichero con el nombre largo ‘4096_512_14_Seconds’ en la carpeta ‘Test’, el día 04-06-2020 a las 17:39:51. A este fichero se le asignó la entrada número 93893 en la MFT.

Después de esperar 300 segundos, se renombró el fichero con el nombre ‘4096_512_14_Seconds’ y, tras una espera de 14000 milisegundos, se volvió a crear otro fichero del mismo tamaño, en la misma carpeta, con el nombre ‘4096_512_14_Seconds’.

Tal y como puedes comprobar en los extractos de las tablas anteriores, el fichero ‘4096_512_14_Seconds’, que ocupaba la entrada número 93893 en la MFT, ha sido renombrado a ‘New_4096_512_14_Seconds’. Del mismo modo, se ha creado el fichero ‘4096_512_14_Seconds’, que ocupa la entrada 93750 en la MFT.

En lo referente a las marcas de tiempo, el último fichero creado, que ocupa la entrada número 93750, fue creado el día 04-06-2020 a las 17:45:05. Sin embargo, tal y como puedes comprobar, al crearlo con el mismo nombre de fichero que renombrado anteriormente, adquiere la fecha de creación de ese fichero renombrado, a las 17:39:51, (en color rojo), presentando, en las demás marcas de tiempo, la fecha original de creación del fichero. Esto indica que, en este caso, con un tiempo de espera de 14000 milisegundos, se ha generado un efecto túnel.

Crear un fichero ‘A’ en una carpeta; renombrar el fichero ‘A’; y volver a crear un fichero ‘A’, en la misma carpeta original

· Crear un fichero ‘A’, de 4096 bytes, con nombre largo

· renombrar el fichero ‘A’

· Establecer un tiempo de espera de 15000 milisegundos

· Volver a crear un fichero ‘A’, de 512 bytes, con nombre largo, en la misma carpeta original de creación

En esta prueba, tal y como puedes ver en la anterior imagen animada, se creó en el sistema un fichero con el nombre largo ‘4096_512_15_Seconds’ en la carpeta ‘Test’, el día 03-06-2020 a las 07:50:58. A este fichero se le asignó la entrada número 93893 en la MFT.

Después de esperar 300 segundos, se renombró el fichero con el nombre ‘4096_512_15_Seconds’ y, tras una espera de 15000 milisegundos, se volvió a crear otro fichero del mismo tamaño, en la misma carpeta, con el nombre ‘4096_512_15_Seconds’.

Tal y como puedes comprobar en los extractos de las tablas anteriores, el fichero ‘4096_512_15_Seconds’, que ocupaba la entrada número 93893 en la MFT, ha sido renombrado a ‘New_4096_512_15_Seconds’. Del mismo modo, se ha creado el fichero ‘4096_512_15_Seconds’, que ocupa la entrada 93750 en la MFT.

Deshabilitando la tunelización del sistema de archivos

Como decía al comienzo del artículo, se puede deshabilitar la tunelización del sistema de archivos. Para ello, se debe añadir la clave “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem\MaximumTunnelEntries”, en el Registro de Windows, establecer un valor de ‘0’, y reiniciar el sistema para que se aplique la nueva configuración.

Una vez aplicada esta configuración, si, ahora ejecutamos cualquiera de las acciones vistas anteriormente, obtendremos como resultado que en ningún caso se genera un efecto túnel.

A modo de ejemplo, expondré a continuación una única prueba, con un tiempo de espera de 10000 milisegundos, en lugar de los 14000 vistos hasta ahora.

CCRR

Crear un fichero ‘A’ en una carpeta; crear un fichero ‘B’, en la misma carpeta; renombrar el fichero ‘A’ como ‘C’; y renombrar el fichero ‘B’ como ‘A’

· Crear un fichero ‘A’, de 512 bytes, con nombre largo

· Crear un fichero ‘B’, de 512 bytes, con nombre largo

· Renombrar el fichero ‘A’ como ‘C’

· Establecer un tiempo de espera de 10000 milisegundos

· Renombrar el fichero ‘B’ a ‘A’

En esta prueba, tal y como puedes ver en la anterior imagen animada, se creó en el sistema un fichero con el nombre largo ‘512-15-LFN01’ en la carpeta ‘Test’, el día 06-06-2020 a las 15:28:08. A este fichero se le asignó la entrada número 93893 en la MFT. Tras esperar 10 segundos, se creó un segundo fichero con el nombre largo ‘512-15-LFN02’, en la misma carpeta, a las 15:28:18. A este segundo fichero se le asignó la entrada número 94050 en la MFT.

Después de esperar 300 segundos, se renombró el fichero con el nombre ‘512-15-LFN01’ a ‘512-15-LFN03’ y, tras una espera de 10000 milisegundos, se renombró el fichero ‘512-15-LFN02’ a ‘512-15-LFN01’.

Tal y como puedes comprobar en los extractos de las tablas anteriores, el fichero ‘512-15-LFN01’, que ocupa la entrada número 93893 en la MFT, ha sido renombrado y sigue ocupando la misma entrada y, el fichero ‘512-15-LFN02’, que ocupa la entrada 94050 en la MFT, ahora ha pasado a denominarse ‘512-15-LFN01’.

En lo referente a las marcas de tiempo, en ambos casos se muestran las fechas originales para cada uno de los dos ficheros, por lo que, con un tiempo de espera de 10000 milisegundos, no se ha generado un efecto túnel.

Sobrescribiendo ficheros, con la tunelización del sistema de archivos deshabilitada

Al efectuar las pruebas pertinentes con la tunelización del sistema de archivos deshabilitada, me topé con otra prueba inesperada, puesto que no la tenía en mente. Consiste en sobrescribir un fichero con otro, de mismo nombre. Así, pues, lo que hice fue ejecutar una primera prueba de tunelización y, una vez terminada, volver a ejecutar la misma prueba para que se sobrescribiera el fichero generado, al objeto de observar su comportamiento.

CDCC

Crear un fichero ‘A’ en una carpeta; eliminar el fichero ‘A’; y volver a crear un fichero ‘A’, en la misma carpeta

· Crear un fichero ‘A’, de 512 bytes, con nombre largo

· Eliminar el fichero ‘A’

· Establecer un tiempo de espera de 14000 milisegundos

· Volver a crear un fichero ‘A’, de 512 bytes, con nombre largo, en la misma carpeta

· Volver a crear un fichero ‘A’, de 512 bytes, con nombre largo, en la misma carpeta, sobrescribiendo el anterior

En esta prueba, tal y como puedes ver en la anterior imagen animada, se creó en el sistema un fichero con el nombre largo ‘512-14-LFN’ en la carpeta ‘Test’, el día 06-06-2020 a las 15:03:08. A este fichero se le asignó la entrada número 4203 en la MFT.

Tal y como puedes comprobar en los extractos de las tablas anteriores, el fichero ‘512-14-LFN’, que ocupaba en la primera creación del fichero, la entrada número 4203 en la MFT, sigue ocupando la misma entrada, con el mismo nombre de fichero.

En lo referente a las marcas de tiempo, el fichero eliminado ‘512-14-LFN’ fue creado el día 06-06-2020 a las 15:03:08, volviendo a crear un fichero con el mismo nombre ‘512-14-LFN’, tras un tiempo de espera de 14000 milisegundos, el día 06-06-2020 a las 15:08:18, presentándose correctamente la marca de tiempo de creación de dicho fichero. Esto indica que, en este caso, con un tiempo de espera de 14000 milisegundos, no se ha generado un efecto túnel.

Vuelvo a crear otro fichero con el mismo nombre de ‘512-14-LFN’ para sobrescribir el existente.

Tal y como puedes comprobar en los extractos de las tablas anteriores, el fichero ‘512-14-LFN’ que ha sido generado para sobrescribir el fichero anterior, presenta en su fecha de creación el día 06-06-2020 a las 15:08:18, (en color rojo), siendo, su fecha correcta de creación, el día 06-06-2020 a las 15:11:26. Esto indica que, en este caso, a pesar de encontrarse la tunelización del sistema de archivos deshabilitada, el nuevo que sobrescribe a otro hereda la fecha de creación del fichero sobrescrito.

Estableciendo un tiempo determinado en la tunelización del sistema de archivos

Como decía, también, al comienzo del artículo, igual que se puede deshabilitar la tunelización del sistema de archivos, se puede establecer un tiempo determinado en segundos para que se genere ese efecto túnel. Para ello, se debe añadir la clave “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem\MaximumTunnelEntryAgeInSeconds”, en el Registro de Windows, establecer un valor numérico en segundos, y reiniciar el sistema para que se aplique la nueva configuración.

Una vez aplicada esta configuración, si, ahora ejecutamos cualquiera de las acciones vistas anteriormente, obtendremos como resultado que se genera un efecto túnel dentro de los valores de tiempo establecidos.

A modo de ejemplo, expondré a continuación una única prueba, con un tiempo de espera de 50000 milisegundos, en lugar de los 14000 vistos hasta ahora.

CCDR

Crear un fichero ‘A’ en una carpeta; crear un fichero ‘B’, en la misma carpeta; eliminar el fichero ‘A’; y renombrar el fichero ‘B’ como ‘A’

· Crear un fichero ‘A’, de 512 bytes, con nombre largo

· Crear un fichero ‘B’, de 512 bytes, con nombre largo

· Eliminar el fichero ‘A’

· Establecer un tiempo de espera de 50000 milisegundos

· Renombrar el fichero ‘B’ a ‘A’

En esta prueba, tal y como puedes ver en la anterior imagen animada, se creó en el sistema un fichero con el nombre largo ‘512-14-LFN01’ en la carpeta ‘Test’, el día 08-06-2020 a las 08:25:39. A este fichero se le asignó la entrada número 93893 en la MFT. Tras esperar 10 segundos, se creó un segundo fichero con el nombre largo ‘512-14-LFN02’, en la misma carpeta, a las 08:25:48. A este segundo fichero se le asignó la entrada número 94051 en la MFT.

Después de esperar 300 segundos, se eliminó el fichero con el nombre ‘512-14-LFN01’ y, tras una espera de 50000 milisegundos, se renombró el fichero ‘512-14-LFN02’ a ‘512-14-LFN01’.

Tal y como puedes comprobar en los extractos de las tablas anteriores, el fichero ‘512-14-LFN01’, que ocupaba originalmente la entrada número 93893, ya no se encuentra disponible en la MFT, al haber sido, dicha entrada, reemplazada por otra que pertenece, ahora, al fichero ‘StartupProfileData-NonInteractive’, de PowerShell, a las 08:31:45. Por otro lado, el fichero ‘512-15-LFN02’, que ocupa la entrada 94051 en la MFT, ahora ha pasado a denominarse ‘512-15-LFN01’.

En lo referente a las marcas de tiempo, el fichero renombrado fue creado el día 08-06-2020 a las 08:25:48, (en color verde). Sin embargo, tal y como puedes comprobar, al renombrarlo con el mismo nombre de fichero que el eliminado, adquiere la fecha de creación de ese fichero eliminado, a las 08:25:39, (en color rojo), presentando, en las demás marcas de tiempo, la fecha original de creación del fichero. Esto indica que, en este caso, con un tiempo de espera de 50000 milisegundos, se ha generado un efecto túnel.

Deshabilitando la creación de nombres de archivo cortos, (8.3)

Se decía al comienzo de este artículo que “La idea, (de la tunelización del sistema de archivos) es imitar el comportamiento que los programas MS-DOS esperan cuando utilizan el método de almacenamiento seguro.”

MS-DOS trabaja con nombres de archivo cortos, (8.3). Así pues, otro modo de deshabilitar la tunelización del sistema de archivos es desactivando la creación de nombres de archivo cortos en el sistema. Para ello, se debe modificar el valor de la clave “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem\NtfsDisable8dot3NameCreation”, en el Registro de Windows, estableciendo dicho valor en ‘1’, y reiniciando el sistema para que se aplique la nueva configuración.

Una vez aplicada esta configuración, si, ahora ejecutamos cualquiera de las acciones vistas anteriormente, obtendremos como resultado que en ningún caso se genera un efecto túnel.

A modo de ejemplo, expondré a continuación dos pruebas, con nombres de archivo largos y nombres de archivo cortos, y un tiempo de espera de 14000 milisegundos.

CDC

Crear un fichero ‘A’ en una carpeta; eliminar el fichero ‘A’; y volver a crear un fichero ‘A’, en la misma carpeta

· Crear un fichero ‘A’, de 512 bytes, con nombre largo

· Eliminar el fichero ‘A’

· Establecer un tiempo de espera de 14000 milisegundos

· Volver a crear un fichero ‘A’, de 512 bytes, con nombre largo, en la misma carpeta

En esta prueba, tal y como puedes ver en la anterior imagen animada, se creó en el sistema un fichero con el nombre largo ‘512-14-LFN’ en la carpeta ‘Test’, el día 18-06-2020 a las 09:55:54. A este fichero se le asignó la entrada número 93893 en la MFT.

Tal y como puedes comprobar en los extractos de las tablas anteriores, el fichero ‘512-14-LFN’, que ocupaba en la primera creación del fichero, la entrada número 93893 en la MFT, sigue ocupando la misma entrada, con el mismo nombre de fichero.

En lo referente a las marcas de tiempo, el fichero eliminado ‘512-14-LFN’ fue creado el día 18-06-2020 a las 09:55:54, volviendo a crear un fichero con el mismo nombre ‘512-14-LFN’, tras un tiempo de espera de 14000 milisegundos, el día 18-06-2020 a las 10:01:05, presentándose correctamente la marca de tiempo de creación de dicho fichero. Esto indica que, en este caso, con un tiempo de espera de 14000 milisegundos, no se ha generado un efecto túnel.

Crear un fichero ‘A’ en una carpeta; eliminar el fichero ‘A’; y volver a crear un fichero ‘A’, en la misma carpeta

· Crear un fichero ‘A’, de 512 bytes, con nombre corto

· Eliminar el fichero ‘A’

· Establecer un tiempo de espera de 14000 milisegundos

· Volver a crear un fichero ‘A’, de 512 bytes, con nombre corto, en la misma carpeta

En esta prueba, tal y como puedes ver en la anterior imagen animada, se creó en el sistema un fichero con el nombre corto ‘512-15~1’ en la carpeta ‘Test’, el día 18-06-2020 a las 10:16:00. A este fichero se le asignó la entrada número 92610 en la MFT.

Después de esperar 300 segundos, se eliminó el fichero con el nombre ‘512-15~1’ y, tras una espera de 14000 milisegundos, se volvió a crear otro fichero del mismo tamaño, en la misma carpeta, con el nombre corto ‘512-15~1’.

Tal y como puedes comprobar en los extractos de las tablas anteriores, el fichero ‘512-15~1’, que ocupaba en la primera creación del fichero, la entrada número 92610 en la MFT, sigue ocupando la misma entrada, con el mismo nombre de fichero.

En lo referente a las marcas de tiempo, el fichero eliminado ‘512-15~1’ fue creado el día 18-06-2020 a las 10:16:00, volviendo a crear un fichero con el mismo nombre ‘512-15~1’, tras un tiempo de espera de 14000 milisegundos, el día 18-06-2020 a las 10:21:14, presentándose correctamente la marca de tiempo de creación de dicho fichero. Esto indica que, en este caso, con un tiempo de espera de 14000 milisegundos, no se ha generado un efecto túnel.

Deshabilitando la actualización del último acceso

Si eres de esas personas que se lo cuestiona todo, (yo lo hago), quizás te estés preguntando si, al deshabilitar la actualización de la marca de tiempo del último acceso a un fichero. Vamos a verlo.

Para ello, se debe modificar el valor de la clave “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem\NtfsDisableLastAccessUpdate”, en el Registro de Windows, estableciendo dicho valor en ‘1’, y reiniciando el sistema para que se aplique la nueva configuración.

Una vez aplicada esta configuración, si, ahora ejecutamos cualquiera de las acciones vistas anteriormente, obtendremos como resultado que se sigue generando el efecto túnel de igual manera.

A modo de ejemplo, expondré a continuación una única prueba, con un tiempo de espera de 14000 milisegundos.

CDC

Crear un fichero ‘A’ en una carpeta; eliminar el fichero ‘A’; y volver a crear un fichero ‘A’, en la misma carpeta

· Crear un fichero ‘A’, de 512 bytes, con nombre largo

· Eliminar el fichero ‘A’

· Establecer un tiempo de espera de 14000 milisegundos

· Volver a crear un fichero ‘A’, de 512 bytes, con nombre largo, en la misma carpeta

En esta prueba, tal y como puedes ver en la anterior imagen animada, se creó en el sistema un fichero con el nombre largo ‘512-14-LFN’ en la carpeta ‘Test’, el día 18-06-2020 a las 10:40:27. A este fichero se le asignó la entrada número 93893 en la MFT.

En lo referente a las marcas de tiempo, el último fichero creado, que ocupa la entrada número 90569, fue creado el día 18-06-2020 a las 10:45:41. Sin embargo, tal y como puedes comprobar, al crearlo con el mismo nombre de fichero que el eliminado anteriormente, adquiere la fecha de creación de ese fichero eliminado, a las 10:40:27, (en color rojo), presentando, en las demás marcas de tiempo, la fecha original de creación del fichero. Esto indica que, en este caso, con un tiempo de espera de 14000 milisegundos, se ha generado un efecto túnel.

Determinando un valor máximo de tunelización

¿Existe un valor máximo de tunelización del sistema de archivos? ¿Se puede calcular? Se puede, sí. Como con todo, es cuestión de inversión de tiempo, y de ganas.

Para ello, he modificado el valor de la clave “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem\MaximumTunnelEntryAgeInSeconds”, en el Registro de Windows, estableciendo dicho valor en ‘86400’, (que equivale a un día convertido a segundos), y reiniciando el sistema para que se aplique la nueva configuración.

Con esta configuración volví a efectuar las pruebas, variando el tiempo de espera en segundos y, de ese modo, he podido determinar que, en mi caso, en mis pruebas, con un tiempo de espera de 71 segundos se genera un efecto túnel, mientras que, con un tiempo de espera de 72 segundos, no se genera. Así pues, según mis resultados, el tiempo máximo de tunelización es de 71 segundos.

A continuación expondré ambas pruebas.

CDC

Crear un fichero ‘A’ en una carpeta; eliminar el fichero ‘A’; y volver a crear un fichero ‘A’, en la misma carpeta

· Crear un fichero ‘A’, de 512 bytes, con nombre largo

· Eliminar el fichero ‘A’

· Establecer un tiempo de espera de 71000 milisegundos

· Volver a crear un fichero ‘A’, de 512 bytes, con nombre largo, en la misma carpeta

En esta prueba, tal y como puedes ver en la anterior imagen animada, se creó en el sistema un fichero con el nombre largo ‘512-71-LFN’ en la carpeta ‘Test’, el día 11-06-2020 a las 08:41:57. A este fichero se le asignó la entrada número 93893 en la MFT.

Después de esperar 300 segundos, se eliminó el fichero con el nombre ‘512-71-LFN’ y, tras una espera de 71000 milisegundos, se volvió a crear otro fichero del mismo tamaño, en la misma carpeta, con el nombre ‘512-71-LFN’.

Tal y como puedes comprobar en los extractos de las tablas anteriores, el fichero ‘512-71-LFN’, que ocupaba la entrada número 93893 en la MFT, ha sido eliminado. Del mismo modo, se ha creado el fichero ‘512-71-LFN’, que ocupa la entrada 86001 en la MFT.

En lo referente a las marcas de tiempo, el último fichero creado, que ocupa la entrada número 86001, fue creado el día 11-06-2020 a las 08:48:14. Sin embargo, tal y como puedes comprobar, al crearlo con el mismo nombre de fichero que el eliminado anteriormente, adquiere la fecha de creación de ese fichero eliminado, a las 08:41:57, (en color rojo), presentando, en las demás marcas de tiempo, la fecha original de creación del fichero. Esto indica que, en este caso, con un tiempo de espera de 71000 milisegundos, se ha generado un efecto túnel.

Crear un fichero ‘A’ en una carpeta; eliminar el fichero ‘A’; y volver a crear un fichero ‘A’, en la misma carpeta

· Crear un fichero ‘A’, de 512 bytes, con nombre largo

· Eliminar el fichero ‘A’

· Establecer un tiempo de espera de 15000 milisegundos

· Volver a crear un fichero ‘A’, de 512 bytes, con nombre largo, en la misma carpeta

En esta prueba, tal y como puedes ver en la anterior imagen animada, se creó en el sistema un fichero con el nombre largo ‘512-72-LFN’ en la carpeta ‘Test’, el día 11-06-2020 a las 08:50:27. A este fichero se le asignó la entrada número 90575 en la MFT.

Después de esperar 300 segundos, se eliminó el fichero con el nombre ‘512-72-LFN’ y, tras una espera de 72000 milisegundos, se volvió a crear otro fichero del mismo tamaño, en la misma carpeta, con el nombre ‘512-72-LFN’.

Tal y como puedes comprobar en los extractos de las tablas anteriores, el fichero ‘512-72-LFN’, que ocupaba en la primera creación del fichero, la entrada número 90575 en la MFT, sigue ocupando la misma entrada, con el mismo nombre de fichero.

En lo referente a las marcas de tiempo, el fichero eliminado ‘512-72-LFN’ fue creado el día 11-06-2020 a las 08:50:27, volviendo a crear un fichero con el mismo nombre ‘512-72-LFN’, tras un tiempo de espera de 72000 milisegundos, el día 11-06-2020 a las 08:56:37, presentándose correctamente la marca de tiempo de creación de dicho fichero. Esto indica que, en este caso, con un tiempo de espera de 14000 milisegundos, no se ha generado un efecto túnel.

¿Cómo explicamos que se ha creado un efecto túnel?

¿Dónde debemos acudir cuando encontramos discordancias en las marcas de tiempo? ¿Dónde podemos explicar que se ha producido un efecto túnel? La respuesta se halla en el fichero ‘$LogFile’. El fichero ‘$LogFile’ es un archivo que registra todos los cambios que se producen en un fichero y que afectan, por ende, a un volumen NTFS. Todos los cambios implican todos los metadatos, los atributos, de un fichero. Por ello, si tenemos en cuenta que, todo, en un sistema de archivos NTFS, es un fichero, obtenemos que cualquier acción que se lleve a cabo en el sistema quedará registrada en este diario.

Tal y como puedes observar en el extracto de la tabla anterior, tenemos, por un lado, que se creó un fichero con el nombre ‘4096_512_14_Seconds’ el día 02-06-2020 a las 16:08:23, (en color verde). El fichero fue creado en la carpeta que tiene asignada la entrada 92342 en la MFT, que se corresponde con la carpeta de nombre ‘Test’. Al fichero se le asignó la entrada 93893 en la MFT. El día 02-06-2020 a las 16:13:23 se eliminó el fichero ‘4096_512_14_Seconds’, (en color rojo), que tenía asignada la entrada 93893 en la MFT y que estaba alojado en la carpeta ‘Test’, cuyo número de entrada en la MFT es la 92342. Nuevamente, se creó un fichero con el nombre ‘4096_512_14_Seconds’, el día 02-06-2020 a las 16:13:37, (en color verde), al que se le asignó la entrada 93750 en la MFT. Este último fichero fue creado en la misma carpeta ‘Test’, cuya entrada en la MFT es la número 92342.

Por otro lado, tenemos que la entrada de la MFT con número 93893, que estaba ocupada anteriormente por el fichero ‘4096_512_14_Seconds’, fue reasignada al fichero ‘he_settings.ini’, el día 02-06-2020 a las 16:14:48, alojado en otra carpeta distinta.

Conclusiones

Hay quien tiene la creencia de que la tunelización del sistema de ficheros no tiene un fuerte impacto en un análisis forense. Yo tengo la creencia de que sí tiene importancia. ¿Por qué creo esto? Porque, si no somos capaces de dar explicación a un suceso, ¿Cómo seremos capaces de hallar las respuestas a las preguntas que nos estamos haciendo? Si no somos capaces de explicar cómo y porqué se generan los efectos túnel, ¿Cómo podemos hallar la verdad en nuestras investigaciones?

Ya hay ocasiones en las que, el hecho de comprender una línea de tiempo, entraña mucha dificultad. Entender esta particularidad, además, le da un hándicap más, porque tenemos que ser capaces de hilar un suceso con otro, al objeto de proporcionar un contexto a una determinada acción.

Te propongo el siguiente ejemplo: Estás llevando a cabo un análisis forense de un sistema en el que un usuario tenía un determinado contenido en un archivo. Este usuario manifiesta que alguien le ha querido inculpar, cambiando el contenido del fichero en cuestión, (pon aquí un contenido de carácter ilícito). En el análisis de la MFT te encuentras una única referencia a ese fichero, que presenta en los atributos de ‘SI’ y de ‘FN’ la misma fecha de creación, aunque existen discordancias en el resto de fechas. Si no conoces esta peculiaridad de los sistemas Windows, no podrás explicar lo sucedido. Si no puedes explicar lo sucedido, no podrás hallar la verdad. Y, si no puedes hallar la verdad, el usuario se verá afectado en el resultado final del análisis.

Pero vamos, que esto es, sólo, una opinión de un curioso en este campo de DFIR.

Esto es todo,

Marcos

Un minion curioso

Blog sobre Análisis Informático Forense - DFIR

Vuelvo en 15 segundos. O, tal vez no. Tunelización del sistema de archivos

No hay comentarios:

Publicar un comentario

Un minion curioso

Escribo cosas sobre DFIR. Cosas que he leído; cosas que he visto; cosas que me han pasado. Mente inquieta, a veces insensata.

Popular Posts

Recent Posts

Blog Archive

Translate

Un minion curioso

Blog sobre Análisis Informático Forense - DFIR

No hay comentarios:

Publicar un comentario

Un minion curioso

Escribo cosas sobre DFIR. Cosas que he leído; cosas que he visto; cosas que me han pasado. Mente inquieta, a veces insensata.

Popular Posts

Recent Posts

Blog Archive

Suscribirse a

Translate