Vocabulario de trabajo para leer nuestros artículos y la literatura DFIR en general. Las definiciones son cortas; sigue los enlaces para más profundidad.
$Extend
Directorio de metadatos NTFS oculto en la raíz del volumen. Contiene el journal ($UsnJrnl), la tabla de lookup de reparse points ($Reparse) y algunos más.
$FILE_NAME
Atributo MFT que guarda uno de los nombres del fichero más una copia interna de sus timestamps. NTFS actualiza estos menos a menudo que $STANDARD_INFORMATION, por eso la comparación SI vs FN detecta timestomping.
$J
El flujo de datos de $UsnJrnl que contiene los registros del journal. El flujo compañero $Max solo lleva el dimensionado.
$LogFile
El log transaccional de NTFS, usado para recuperación tras crash. Guarda imágenes antes/después de las escrituras de metadatos de las últimas miles de transacciones. Útil para recuperar ficheros recién eliminados y para cazar escrituras que el journal perdió.
$MFT
La Master File Table — el índice de cada fichero y directorio del volumen. Cada entrada es de 1024 bytes (típicamente) y guarda atributos incluyendo $STANDARD_INFORMATION, uno o más $FILE_NAME y los data runs.
$STANDARD_INFORMATION
Atributo MFT que guarda los timestamps visibles al usuario y los atributos básicos. Los valores que la mayoría de herramientas y APIs leen y escriben — incluyendo las herramientas de timestomping.
$UsnJrnl
El fichero de metadatos NTFS en \$Extend\$UsnJrnl que posee los flujos del journal.
Alternate Data Stream (ADS)
Un segundo (o N-ésimo) flujo de datos nombrado en un fichero NTFS. $UsnJrnl:$J es uno; el Zone.Identifier puesto por los navegadores en descargas es otro. Filtrar por StreamChange en el journal USN saca la actividad de ADS.
BasicInfoChange
Una flag de razón USN emitida cuando se actualiza $STANDARD_INFORMATION. Registros BasicInfoChange | Close desnudos — sin una escritura precedente — son una señal fuerte de timestomping.
Bodyfile
Un formato de texto consumido por mactime (The Sleuth Kit) para salida timeline. MFTECmd, parsers USN y otros pueden emitir filas bodyfile que se fusionan en una timeline.
DataExtend / DataOverwrite
Flags de razón USN para el flujo de datos creciendo o siendo sobrescrito. Ráfagas masivas de DataOverwrite son la señal canónica del ransomware.
FILETIME
Un timestamp Windows: entero sin signo de 64 bits de tics de 100 nanosegundos desde 1601-01-01 UTC. Ver el post FILETIME para recetas de conversión.
FileReferenceNumber
Un número de entrada MFT combinado con un número de secuencia, empaquetado en un valor de 64 bits. Rastrea un fichero específico a través de la reutilización del MFT — misma entrada, secuencia distinta, significa que la entrada fue reciclada.
fsutil usn
El CLI soportado por Microsoft para consultar y gestionar el journal USN: habilitar/deshabilitar, consultar tamaño, volcar registros. Ver la referencia de Microsoft Learn.
hreflang
Señal HTML/HTTP que dice a los motores de búsqueda qué traducción de una página servir en qué locale. Distinta del atributo lang.
MITRE ATT&CK
El marco comunitario que mapea comportamientos adversarios. En el blog referenciamos técnicas como T1486 Data Encrypted for Impact y T1074 Data Staged.
RenameOldName / RenameNewName
Flags de razón USN emitidas en par en cada renombrado — la mitad «antes» nombra la ruta antigua, la mitad «después» nombra la nueva. Ambos registros comparten el mismo FileReferenceNumber.
Reparse point
Una estructura de metadatos NTFS que redirige una ruta a otro lugar — junctions, links simbólicos, puntos de montaje. Surge en el journal vía ReparsePointChange.
Ring buffer
El modelo de almacenamiento de tamaño fijo y wrap-around del journal USN: cuando se llena, los registros más antiguos se sobrescriben. Tamaños por defecto van desde ~10 MB en clientes hasta 1 GB+ en servidores.
TSK
The Sleuth Kit — la librería y herramientas CLI open-source de Brian Carrier (fls, icat, mmls…). El toolkit libre de referencia para trabajo bajo nivel sobre filesystems.
USN
Update Sequence Number — el offset por-registro dentro del journal. El campo usn de cada registro es su posición en bytes; por eso también el journal se direcciona y se hace seek por USN.
Volume Shadow Copy (VSS)
El mecanismo de snapshot nativo de Windows. Los snapshots se pueden montar y parsear para versiones anteriores de ficheros y metadatos, incluyendo estados anteriores del MFT.
WebAssembly
Un formato binario portable que corre en navegadores a velocidad casi nativa. El módulo WASM de USN Parser pesa ~105 KB y parsea 720k registros en ~1,4 s en un Macbook reciente.