hacktricks/forensics/basic-forensic-methodology/anti-forensic-techniques.md

<details>

<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>

- ¿Trabajas en una **empresa de ciberseguridad**? ¿Quieres ver tu **empresa anunciada en HackTricks**? ¿O quieres tener acceso a la **última versión de PEASS o descargar HackTricks en PDF**? ¡Consulta los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)!

- Descubre [**The PEASS Family**](https://opensea.io/collection/the-peass-family), nuestra colección de exclusivos [**NFTs**](https://opensea.io/collection/the-peass-family)

- Obtén el [**oficial PEASS & HackTricks swag**](https://peass.creator-spring.com)

- **Únete al** [**💬**](https://emojipedia.org/speech-balloon/) **grupo de Discord** o al [**grupo de telegram**](https://t.me/peass) o **sígueme** en **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**

- **Comparte tus trucos de hacking enviando PRs al [repositorio de hacktricks](https://github.com/carlospolop/hacktricks) y al [repositorio de hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud)**.

</details>


# Timestamps

Un atacante puede estar interesado en **cambiar los timestamps de los archivos** para evitar ser detectado.\
Es posible encontrar los timestamps dentro del MFT en los atributos `$STANDARD_INFORMATION` y `$FILE_NAME`.

Ambos atributos tienen 4 timestamps: **Modificación**, **acceso**, **creación** y **modificación del registro MFT** (MACE o MACB).

El **explorador de Windows** y otras herramientas muestran la información de **`$STANDARD_INFORMATION`**.

## TimeStomp - Herramienta anti-forense

Esta herramienta **modifica** la información de los timestamps dentro de **`$STANDARD_INFORMATION`** **pero no** la información dentro de **`$FILE_NAME`**. Por lo tanto, es posible **identificar** **actividad sospechosa**.

## Usnjrnl

El **USN Journal** (Update Sequence Number Journal), o Change Journal, es una característica del sistema de archivos de Windows NT (NTFS) que **mantiene un registro de los cambios realizados en el volumen**.\
Es posible utilizar la herramienta [**UsnJrnl2Csv**](https://github.com/jschicht/UsnJrnl2Csv) para buscar modificaciones en este registro.

![](<../../.gitbook/assets/image (449).png>)

La imagen anterior es la **salida** mostrada por la **herramienta** donde se puede observar que se realizaron algunos **cambios al archivo**.

## $LogFile

Todos los cambios de metadatos en un sistema de archivos se registran para garantizar la recuperación consistente de las estructuras críticas del sistema de archivos después de un fallo del sistema. Esto se llama [write-ahead logging](https://en.wikipedia.org/wiki/Write-ahead\_logging).\
Los metadatos registrados se almacenan en un archivo llamado "**$LogFile**", que se encuentra en un directorio raíz de
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00			`<details>`

update twitter 2023-04-25 18:35:28 +00:00			`<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated to Spanish 2023-06-03 01:46:23 +00:00			`- ¿Trabajas en una empresa de ciberseguridad? ¿Quieres ver tu empresa anunciada en HackTricks? ¿O quieres tener acceso a la última versión de PEASS o descargar HackTricks en PDF? ¡Consulta los [PLANES DE SUSCRIPCIÓN](https://github.com/sponsors/carlospolop)!`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated to Spanish 2023-06-03 01:46:23 +00:00			`- Descubre [The PEASS Family](https://opensea.io/collection/the-peass-family), nuestra colección de exclusivos [NFTs](https://opensea.io/collection/the-peass-family)`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated to Spanish 2023-06-03 01:46:23 +00:00			`- Obtén el [oficial PEASS & HackTricks swag](https://peass.creator-spring.com)`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated to Spanish 2023-06-03 01:46:23 +00:00			`- Únete al [💬](https://emojipedia.org/speech-balloon/) grupo de Discord o al [grupo de telegram](https://t.me/peass) o sígueme en Twitter [🐦](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[@carlospolopm](https://twitter.com/hacktricks_live).`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated to Spanish 2023-06-03 01:46:23 +00:00			`- Comparte tus trucos de hacking enviando PRs al [repositorio de hacktricks](https://github.com/carlospolop/hacktricks) y al [repositorio de hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud).`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
			`</details>`

GitBook: [#3165] No subject 2022-05-01 16:32:23 +00:00
			`# Timestamps`
GitBook: [master] 2 pages and 5 assets modified 2021-04-08 21:47:36 +00:00
Translated to Spanish 2023-06-03 01:46:23 +00:00			`Un atacante puede estar interesado en cambiar los timestamps de los archivos para evitar ser detectado.\`
			Es posible encontrar los timestamps dentro del MFT en los atributos `$STANDARD_INFORMATION` y `$FILE_NAME`.
GitBook: [master] 2 pages and 5 assets modified 2021-04-08 21:47:36 +00:00
Translated to Spanish 2023-06-03 01:46:23 +00:00			`Ambos atributos tienen 4 timestamps: Modificación, acceso, creación y modificación del registro MFT (MACE o MACB).`
GitBook: [master] 2 pages and 5 assets modified 2021-04-08 21:47:36 +00:00
Translated to Spanish 2023-06-03 01:46:23 +00:00			El explorador de Windows y otras herramientas muestran la información de `$STANDARD_INFORMATION`.
GitBook: [master] 2 pages and 5 assets modified 2021-04-08 21:47:36 +00:00
Translated to Spanish 2023-06-03 01:46:23 +00:00			`## TimeStomp - Herramienta anti-forense`
GitBook: [master] 2 pages and 5 assets modified 2021-04-08 21:47:36 +00:00
Translated to Spanish 2023-06-03 01:46:23 +00:00			Esta herramienta modifica la información de los timestamps dentro de `$STANDARD_INFORMATION` pero no la información dentro de `$FILE_NAME`. Por lo tanto, es posible identificar actividad sospechosa.
GitBook: [master] 2 pages and 5 assets modified 2021-04-08 21:47:36 +00:00
GitBook: [#3165] No subject 2022-05-01 16:32:23 +00:00			`## Usnjrnl`
GitBook: [master] 2 pages and 5 assets modified 2021-04-08 21:47:36 +00:00
Translated to Spanish 2023-06-03 01:46:23 +00:00			`El USN Journal (Update Sequence Number Journal), o Change Journal, es una característica del sistema de archivos de Windows NT (NTFS) que mantiene un registro de los cambios realizados en el volumen.\`
			`Es posible utilizar la herramienta [UsnJrnl2Csv](https://github.com/jschicht/UsnJrnl2Csv) para buscar modificaciones en este registro.`
GitBook: [master] 2 pages and 5 assets modified 2021-04-08 21:47:36 +00:00
GitBook: [#2777] gitbookissooooo slow I cannot write 2021-10-18 11:21:18 +00:00			`![](<../../.gitbook/assets/image (449).png>)`
GitBook: [master] 2 pages and 5 assets modified 2021-04-08 21:47:36 +00:00
Translated to Spanish 2023-06-03 01:46:23 +00:00			`La imagen anterior es la salida mostrada por la herramienta donde se puede observar que se realizaron algunos cambios al archivo.`
GitBook: [master] 2 pages and 5 assets modified 2021-04-08 21:47:36 +00:00
GitBook: [#3165] No subject 2022-05-01 16:32:23 +00:00			`## $LogFile`
GitBook: [master] 2 pages and 5 assets modified 2021-04-08 21:47:36 +00:00
Translated to Spanish 2023-06-03 01:46:23 +00:00			`Todos los cambios de metadatos en un sistema de archivos se registran para garantizar la recuperación consistente de las estructuras críticas del sistema de archivos después de un fallo del sistema. Esto se llama [write-ahead logging](https://en.wikipedia.org/wiki/Write-ahead\_logging).\`
			`Los metadatos registrados se almacenan en un archivo llamado "$LogFile", que se encuentra en un directorio raíz de`