Forensics in Spanish
NTFS Filesystem: Marcas de borrado Jun 30 2008 09:58PM
Roumen Boyanov Chirinov (roumen chirinov gmail com) (3 replies)
Re: NTFS Filesystem: Marcas de borrado Jul 02 2008 11:45PM
Camilo (camilo uribe gmail com)
Re: NTFS Filesystem: Marcas de borrado Jul 02 2008 09:51AM
Javier Igal (javier igal gmail com)
Hola Roumen ;-) :

Quizá este enlace te ayude: What Is NTFS?
<http://technet2.microsoft.com/windowsserver/en/library/59a9462a-cbdd-45
e7-828b-12c6cd9ae4781033.mspx>
Especialmente el apartado "NTFS Change Journal"

También en este otro Keeping an Eye onYour NTFS Drives:the Windows 2000
Change Journal <http://www.microsoft.com/msj/0999/journal/journal.aspx>
puedes ver algo más y te explica en qué consiste. Es para la versión
Windows 2000, pero supongo que servirá para XP. Para Vista ya no lo sé.

Y para temas de File Replication Service (How FRS Works
<http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/dis
trib/dsdh_frs_bnyr.mspx>),
en concreto en Detailed Operation
<http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/dis
trib/dsdh_frs_bamn.mspx>

Espero que te sirva de ayuda. Sino ya sabes dónde encontrarme... :-)

Roumen Boyanov Chirinov escribió:
> Hola,
>
> Tengo dos sistemas con sistemas de ficheros NTFS:
>
> - Windows XP
> - Windows Vista
>
> Creo que NTFS no cuenta con marcas de borrado. Por tanto si un fichero
> es borrado, no se guarda ningun log, ninguna traza. La única
> posibilidad para que esto se haga es activar la auditoria sobre una
> carpeta o un disco.
>
> Realmente las únicas marcas que se guardan por defecto son: marcas de
> fecha y hora (creación o modificación)
>
> ¿Estoy en lo cierto?
>
> --
> Un saludo!
>
> Roumen

--
Salu2

=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
Javier I. Igal
<javier.igal (at) gmail (dot) com [email concealed]>
<javier (at) larrate (dot) net [email concealed]>

0? *?H?÷
 ?0?1 0 +0? *?H?÷
 ?L0?H0?± <?e0
 *?H?÷
061 0 UES1
0 U
FNMT10U FNMT Clase 2 CA0
070604072732Z
100604072732Z0?1 0 UES1
0 U
FNMT10U FNMT Clase 2 CA10U  7000011631<0:U3NOMBRE IGAL ABENDAñO JAVIER IGNACIO - NIF 18206685T0?0
 *?H?÷
0?¿ãé0?cÙeÀ~;µãʦ=Ú± X?&@Ö2ª?¼zµåZ?.M?ýb©q`Õ%ÃÆÓî}¡4s"
,y*¤ÑÃ~³êvÀMÒËàÊO?CÓ>?¿ÎBO-ÛBáìÍI©Êe6lã¬}P?ëÉm??" R?Bð-Åã]·?
£?0?
0U?0?JAVIER.IGAL (at) GMAIL (dot) COM [email concealed]¤i0g10 +¬f 18206685T10 +¬fABENDAÑO10 +¬fIGAL10 +¬fJAVIER IGNACIO0 U00+U$0"?20070604072732Z20100604072732Z0 U 0 `?H?øB 0U?óÈ?׺DÜ?ÜâXq@Á?#?8£0U#0?@?vD?tĬˍ
O:E|0×a0?1U ?(0?$0?  +¬f0?04+(http://www.cert.fnmt.es/convenio/dpc.pdf0Ø
+0ËÈCertificado Reconocido expedido según legislación vigente.Uso limitado a la Comunidad Electrónica por valor máximo de 100 e salvo excepciones en DPC.Contacto FNMT:C/Jorge Juan 106-28009-Madrid-España.0 +¬f!PERSONA FISICA0/+#0!0?F0?F0 EURd0[UT0R0P N L¤J0
H1 0 UES1
0 U
FNMT10U FNMT Clase 2 CA10UCRL34120
 *?H?÷
FäÉ 3}&%ÀóT¨ù?#à??ޏԧ?´ÌTYô+>¬ÛÐÔ9£$_?!-,çz3FS²I?UÏ9ïÇF¾#
³ '¬ãã-¼É^#ë'ü6.?@Ì| âOçwhõÖ/úÙä#No'ÜÑÒW x^à3ý l2~Ñ?1??0??0>061 0 UES1
0 U
FNMT10U FNMT Clase 2 CA<?e0 + ±0 *?H?÷
 1  *?H?÷
0 *?H?÷
 1
080702095146Z0# *?H?÷
 1H(?ÆUHéG#ü1óã:?Ôs;
0R *?H?÷
 1E0C0
*?H?÷
0*?H?÷
?0
*?H?÷
@0+0
*?H?÷
(0
 *?H?÷
?h?Xi?#?yIÞg5K}´Ýû¾HMÔ×¾òÑ [?éÀ²5,;?íx|úopVn:R},̨?±, Ã? ÿG¤ØLìNÛß0@UM5? ?è¾À?zâ?ÿB3fQ?ñ?øÝt4ci¥a`7_êÝ?¡Æ×|-ë4

[ reply ]
Re: NTFS Filesystem: Marcas de borrado Jul 01 2008 10:08PM
Alonso Caballero Quezada / ReYDeS (reydes gmail com)


 

Privacy Statement
Copyright 2010, SecurityFocus