Blog
Artículos sobre forense de NTFS, análisis del journal USN y respuesta a incidentes.
Detectar exfiltración de datos y copias a USB con el journal USN
2026-05-15
Copias masivas, drops a USB y directorios de staging dejan una forma reconocible en $UsnJrnl:$J. Los patrones a filtrar, con ejemplos trabajados.
Detectar actividad de ransomware en el journal USN
2026-05-15
Aunque el binario desaparezca, un ransomware deja una huella muy reconocible en $UsnJrnl:$J. Repaso de los patrones a buscar y las combinaciones de códigos de razón asociadas.
Detectar timestomping y antiforense en el journal USN
2026-05-15
Los atacantes que editan timestamps del MFT no pueden esconderse del change journal. Cómo las discrepancias $STANDARD_INFORMATION vs $FILE_NAME y los BasicInfoChange inesperados delatan la actividad antiforense.
Cómo extraer $UsnJrnl:$J de una imagen de disco (o de un sistema vivo)
2026-05-15
Guía práctica para extraer el journal USN de NTFS de una imagen forense, un volumen montado o un host Windows en vivo — con FTK Imager, X-Ways, The Sleuth Kit, fsutil y PowerShell.
Reconstruir una timeline de actividad de usuario desde el journal USN
2026-05-15
A partir de tres minutos de registros $UsnJrnl puedes habitualmente reconstruir lo que un usuario estaba haciendo — Office, navegador, descargas, código. Cómo leer el journal como log de comportamiento.
Recuperar evidencia de archivos eliminados con el journal USN
2026-05-15
Cuando un archivo ha sido eliminado, vaciado de la papelera y su entrada MFT recicladas — el journal USN suele conservar su nombre, padre y cronología. Cómo extraer esa evidencia.
Journal USN vs $MFT vs $LogFile: ¿qué artefacto NTFS para qué pregunta?
2026-05-15
Referencia comparativa de los tres artefactos de metadatos NTFS que toda investigación forense de Windows acaba tocando — qué registra cada uno, qué no, y cuándo recurrir a cuál.
Parsear el journal USN en el navegador con Rust + WebAssembly
2026-05-14
Cómo enviamos un parser completo de journal USN NTFS a tu navegador en forma de 105 KB de WebAssembly — y por qué «parsearlo en cliente» es la única respuesta aceptable para artefactos forenses.
El FILETIME de Windows explicado — convertir timestamps de NTFS en algo legible
2026-05-13
FILETIME es el formato de timestamp Windows que encontrarás en $MFT, $UsnJrnl, el registro, $Recycle.Bin y casi cualquier artefacto Windows. Referencia corta y completa: qué es, cómo convertirlo, las trampas.
Códigos de razón USN — leer entre bits
2026-05-12
Recorrido campo a campo por el bitmask «reason» de los registros USN_RECORD y lo que cada combinación cuenta sobre el ciclo de vida de un fichero en disco.
Comprender el journal USN de NTFS ($UsnJrnl:$J)
2026-05-10
Introducción práctica al journal de Update Sequence Number de NTFS — qué es, cómo se estructura en disco y por qué es tan valioso en la forense de Windows.