analyzing-mft-for-deleted-file-recovery
por mukul975analyzing-mft-for-deleted-file-recovery ayuda a recuperar metadatos de archivos borrados y posibles indicios de ruta o contenido mediante el análisis de registros NTFS $MFT, $LogFile, $UsnJrnl y del espacio slack del MFT. Está pensado para flujos de trabajo de DFIR y auditoría de seguridad con MFTECmd, analyzeMFT y X-Ways Forensics.
Esta skill obtiene 78/100, así que es una opción sólida para el directorio si el usuario trabaja en recuperación forense de NTFS. El repositorio aporta suficiente flujo de trabajo concreto, material de referencia y scripts de apoyo como para que un agente ejecute la tarea con menos incertidumbre que con un prompt genérico, aunque sigue habiendo cierta fricción de adopción porque la ruta de instalación no está explicada de forma explícita.
- Fuerte especificidad de dominio: el frontmatter apunta claramente al análisis de MFT en NTFS para la recuperación de archivos borrados, con etiquetas relevantes y mapeos a NIST CSF.
- Hay soporte operativo: dos scripts más la documentación de flujo de trabajo y referencias cubren el análisis del output de MFT, el filtrado de registros borrados, la reconstrucción de líneas de tiempo y la recuperación del espacio slack.
- Buen valor para decidir la instalación: el repositorio incluye estándares, referencias técnicas y una plantilla de informe, lo que ayuda a valorar si encaja con flujos de DFIR.
- No hay comando de instalación ni instrucciones explícitas de configuración en SKILL.md, así que los agentes pueden necesitar algo de inferencia adicional para orquestar la ejecución.
- Parte de la evidencia apunta a la utilidad de herramientas externas como MFTECmd y analyzeMFT, lo que significa que la skill depende de una cadena de herramientas forenses más amplia y no es completamente autosuficiente.
Descripción general de la habilidad analyzing-mft-for-deleted-file-recovery
Qué hace esta habilidad
La habilidad analyzing-mft-for-deleted-file-recovery te ayuda a analizar la Master File Table de NTFS ($MFT) para recuperar metadatos de archivos borrados y, cuando es posible, indicios del historial de contenido o de rutas. Está pensada para trabajos de DFIR en los que el objetivo no es solo “encontrar archivos eliminados”, sino reconstruir qué existía, cuándo cambió y si las marcas de tiempo o los metadatos fueron manipulados.
Quién debería instalarla
Instala la habilidad analyzing-mft-for-deleted-file-recovery si haces respuesta a incidentes, triaje forense o trabajos de Security Audit sobre volúmenes NTFS y quieres un flujo de trabajo estructurado para la recuperación de archivos borrados. Encaja especialmente bien cuando ya tienes una imagen, un $MFT en bruto o salida de MFTECmd y necesitas un análisis repetible en lugar de un prompt genérico.
Por qué es útil
Su principal valor es el apoyo práctico al flujo de trabajo: se centra en registros borrados, marcas de tiempo, $UsnJrnl, $LogFile y el espacio slack de MFT. Esa combinación aporta más información útil que un prompt simple de “parsear MFT”, porque fomenta la correlación cruzada y no solo el listado de registros.
Cómo usar la habilidad analyzing-mft-for-deleted-file-recovery
Instala e inspecciona los archivos correctos
Usa la ruta de instalación que aparece en las instrucciones del repositorio: npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill analyzing-mft-for-deleted-file-recovery. Después de instalarla, lee primero SKILL.md, luego references/workflows.md, references/api-reference.md y references/standards.md. Si vas a validar la calidad de salida o la forma del informe, abre pronto assets/template.md para que tus prompts encajen con el entregable esperado.
Pásale a la habilidad una entrada lista para el caso
El uso de analyzing-mft-for-deleted-file-recovery funciona mejor cuando proporcionas desde el inicio tres cosas: la fuente de evidencia, la pregunta y la restricción. Por ejemplo: “Analiza este CSV de MFTECmd de C:\Users\...\NTFS para identificar archivos borrados, hora probable de eliminación e indicadores de timestomping; devuelve un resumen conciso para Security Audit.” Eso es más sólido que “ayúdame a recuperar archivos borrados”, porque le dice a la habilidad qué resultado debe priorizar.
Sigue el orden de trabajo del repositorio
Un analyzing-mft-for-deleted-file-recovery guide práctico es: extraer o proporcionar $MFT, parsear con MFTECmd o analyzeMFT, filtrar los registros borrados (InUse = False), comparar las marcas de tiempo de $SI y $FN, y después cruzar con $UsnJrnl y $LogFile para obtener contexto de secuencia y eliminación. Si sospechas una recuperación parcial, inspecciona el espacio slack de MFT después del parse principal para no pasar por alto datos residuales de atributos.
Mejora la calidad del prompt con restricciones de salida
Al pedir el análisis, especifica el formato que necesitas: tabla, cronología, notas de triaje o resumen listo para auditoría. Indica si quieres solo registros borrados, solo candidatos a timestomping o una cronología completa unificada. Para analyzing-mft-for-deleted-file-recovery for Security Audit, pide hallazgos explícitos, notas de confianza y cualquier hueco en la evidencia para que el resultado sea útil en un paquete de revisión.
Preguntas frecuentes sobre la habilidad analyzing-mft-for-deleted-file-recovery
¿Esto es solo para recuperar archivos borrados?
No. La habilidad se centra en la recuperación de archivos borrados, pero también admite reconstrucción de cronologías y revisión de anti-forensics. Si tu tarea real es un triaje NTFS amplio sin una pregunta concreta sobre archivos eliminados, puede bastar con un prompt general de forense de sistemas de archivos.
¿Necesito MFTECmd para usarla bien?
MFTECmd es la entrada más natural, pero no es la única. La habilidad también encaja con analyzeMFT y con revisión directa de $MFT. Si solo tienes una imagen de disco y no tienes salida parseada, obtendrás mejores resultados después de extraer $MFT o generar primero un CSV.
¿Es adecuada para principiantes?
Sí, si el usuario puede aportar evidencia y una pregunta clara. La habilidad es más útil que un prompt en blanco para principiantes porque los orienta hacia los artefactos y comprobaciones correctos. Es menos adecuada si el usuario no puede distinguir un volumen NTFS de un listado genérico de archivos.
¿Cuándo no debería usarla?
No uses analyzing-mft-for-deleted-file-recovery si el sistema de archivos no es NTFS, si el caso no tiene un problema de eliminación o de marcas de tiempo, o si necesitas carving de contenido completo en lugar de una recuperación guiada por metadatos. En esos casos, otro flujo de trabajo forense será más rápido.
Cómo mejorar la habilidad analyzing-mft-for-deleted-file-recovery
Aporta evidencia más sólida, no solo un objetivo
Las mejores entradas nombran la fuente y el alcance: “CSV de MFTECmd de una estación de trabajo, centrado en documentos borrados en Downloads, incluye ruta principal e indicadores de eliminación.” Eso es mejor que “analiza el MFT”, porque así la habilidad puede priorizar las filas relevantes en lugar de resumirlo todo.
Pide las comparaciones forenses adecuadas
El principal impulsor de calidad es la comparación entre $SI, $FN, $UsnJrnl y $LogFile. Si te importa la calidad de salida de analyzing-mft-for-deleted-file-recovery skill, pide al modelo que explique las discrepancias, no solo que enumere marcas de tiempo. Esto ayuda a detectar timestomping, historial de cambios de nombre y casos en los que el registro borrado aún conserva metadatos de ruta aprovechables.
Vigila los fallos más comunes
El fallo más habitual es sobreafirmar la certeza de la recuperación a partir de metadatos incompletos. Un registro MFT borrado puede conservar nombres de archivo y marcas de tiempo sin conservar el contenido del archivo. Otro fallo es no tener en cuenta el riesgo de reasignación: si el registro se ha reutilizado, los detalles recuperados pueden ser parciales o engañosos. Indícale a la habilidad que separe los hechos confirmados de las inferencias.
Itera con una segunda pasada más precisa
Después de la primera salida, ajusta con un prompt más acotado: “Vuelve a ejecutar el análisis solo sobre los registros borrados con discrepancias en las horas de creación de $SI y $FN; devuelve una tabla breve de hallazgos y una conclusión de una sola frase para Security Audit.” Esto mejora la señal porque obliga a la habilidad a jerarquizar la evidencia, no solo a repetirla.