Blog
Artículos sobre forense de NTFS, análisis del journal USN y respuesta a incidentes.
Detectar exfiltración de datos y copia a USB con el USN journal
2026-05-15
Las copias masivas, los drops a USB y los directorios de staging dejan una forma reconocible en $UsnJrnl:$J. Los patrones por los que filtrar, con ejemplos trabajados.
Detectar actividad de ransomware en el USN journal
2026-05-15
Incluso cuando el binario ya no está, el ransomware deja una huella muy distintiva en $UsnJrnl:$J. Un recorrido de los patrones a buscar, con las combinaciones de Reason codes correspondientes.
Detectar timestomping y anti-forense en el USN journal
2026-05-15
Los atacantes que editan timestamps de MFT no pueden esconderse del change journal. Cómo las discrepancias $STANDARD_INFORMATION vs $FILE_NAME y los registros BasicInfoChange inesperados delatan la actividad anti-forense.
Cómo extraer $UsnJrnl:$J de una imagen de disco (o de un sistema en vivo)
2026-05-15
Una guía práctica para sacar el USN Journal NTFS de una imagen forense, un volumen montado o un host Windows en vivo, con FTK Imager, X-Ways, The Sleuth Kit, fsutil y PowerShell.
Reconstruir una timeline de actividad de usuario desde el USN journal
2026-05-15
Desde tres minutos de registros $UsnJrnl normalmente puedes reconstruir lo que un usuario estaba haciendo: Office, navegador, descargas, código. Cómo leer el journal como un log de comportamiento.
Recuperar evidencia de archivos eliminados con el USN journal
2026-05-15
Cuando un archivo ha sido eliminado, sacado de la papelera y la entrada MFT reciclada — el USN journal a menudo aún tiene su nombre, padre y línea temporal. Una guía para extraer esa evidencia.
USN Journal vs $MFT vs $LogFile: ¿qué artefacto NTFS para qué pregunta?
2026-05-15
Una referencia lado a lado de los tres artefactos de metadatos NTFS que toda investigación forense de Windows acaba tocando — qué registra cada uno, qué no, y cuándo tirar de cuál.
Parsear el USN Journal en el navegador con Rust + WebAssembly
2026-05-14
Cómo entregamos un parser completo de USN Journal NTFS a tu navegador como 105 KB de WebAssembly, y por qué 'parsearlo en el cliente' es la única respuesta aceptable para artefactos forenses.
FILETIME de Windows explicado — convertir timestamps de NTFS a algo legible
2026-05-13
FILETIME es el formato de timestamp de Windows que encontrarás en $MFT, $UsnJrnl, el registro, $Recycle.Bin y casi cualquier artefacto de Windows. Una referencia corta y completa: qué es, cómo convertirlo y las trampas.
USN Reason Codes — leer entre los bits
2026-05-12
Un recorrido campo a campo por la máscara de bits Reason de USN_RECORD y lo que cada combinación dice sobre el ciclo de vida de un archivo en disco.
Comprender el USN Journal de NTFS ($UsnJrnl:$J)
2026-05-10
Una introducción práctica al Update Sequence Number Journal de NTFS: qué es, cómo está estructurado en disco y por qué es tan valioso en la forense de Windows.