MFT-Parser — NTFS-$MFT-Analyzer im Browser

Ein MFT-Parser, der vollständig in Ihrem Browser läuft. Legen Sie eine NTFS-$MFT-Datei ab und inspizieren Sie jeden Eintrag — gelöschte Einträge, $STANDARD_INFORMATION- und $FILE_NAME-Zeitstempel, alternative Datenströme, residente Daten — ohne ein einziges Byte hochzuladen. WebAssembly unter der Haube, das Rust-Crate omerbenamram/mft übernimmt das Parsing.

Über diesen MFT-Parser

Ein MFT-Parser liest die NTFS- Master File Table — die $MFT-Datei am Anfang jedes NTFS-Volumes — und verwandelt ihre 1.024-Byte-Datensätze in etwas, womit ein Forensik-Analyst arbeiten kann: Dateinamen, Zeitstempel, übergeordnete Verzeichnisse, Alternate Data Streams, gelöschte Einträge und residente Daten. Diese Seite ist einer dieser Parser. Sie läuft in Ihrem Browser.

Legen Sie eine $MFT-Datei oben auf den Bereich. Die Datei wird in den Speicher des Browsers geladen, vom Rust-Crate omerbenamram/mft (kompiliert zu WebAssembly) geparst und als paginierte, durchsuchbare Tabelle dargestellt. Nichts wird hochgeladen — Sie können das prüfen, indem Sie das Netzwerk vor dem Drop trennen. CSV-Export und ein Triage-Bericht stehen für die nachgelagerte Analyse bereit.

Was er Ihnen zeigt

  • Jeden MFT-Datensatz, alloziert oder gelöscht, mit sichtbarem in-use-Flag.
  • Beide Zeitstempel-Sätze — $STANDARD_INFORMATION und $FILE_NAME — um Timestomping auf einen Blick zu erkennen.
  • Alternate Data Streams an jedem Datensatz, einschließlich Zone.Identifier.
  • Residente $DATA-Bytes für kleine Dateien — oft die einzige nach der Löschung wiederherstellbare Version.
  • Vollständige Pfad-Rekonstruktion durch Verfolgung der Parent-Referenzen durch die Tabelle.

Im Vergleich zu anderen MFT-Parsern

Auf einer Windows-Analyse-Workstation ist MFTECmd das Standard-CLI und erzeugt das CSV, das Timeline Explorer und KAPE erwarten. Für Skripting unter Linux geben das CLI und das Rust-Crate omerbenamram/mft JSON Lines aus. Dieser Browser-Parser füllt die dritte Lücke: keine Installation, läuft überall dort, wo ein Browser läuft, geeignet für schnelle Triage und für Situationen, in denen Beweismittel nicht an einen Cloud-Dienst gesendet werden dürfen. Vollständiger Vergleich im Beitrag MFT-Parser im Vergleich.

Eine $MFT zum Parsen besorgen

$MFT ist gesperrt, solange Windows läuft. Um eine Kopie zu extrahieren, nutzen Sie fsutil auf einem laufenden System, FTK Imager gegen ein physisches Laufwerk oder das Ziel MFT von KAPE für eine vollständige Triage-Sammlung. Schritt für Schritt in So extrahieren Sie $MFT aus einem laufenden Windows-System.

Forensik-FAQ

Was ist die Master File Table?
Die Master File Table ($MFT) ist der Metadaten-Index von NTFS. Jede Datei und jedes Verzeichnis auf dem Volume besitzt mindestens einen 1.024-Byte-Eintrag in der $MFT, der Name, Attribute, Zeitstempel und Speicherort der Daten auf der Platte beschreibt.
Wofür steht MFT?
MFT steht für Master File Table. Auf der Platte wird sie $MFT geschrieben — das Dollarzeichen ist die NTFS-Konvention für Metadatendateien.
Welche Dateiattribute werden in der Master File Table gespeichert?
Jeder Eintrag trägt $STANDARD_INFORMATION (Zeitstempel, DOS-Flags), $FILE_NAME (Name und ein zweiter Satz Zeitstempel) und $DATA (Dateiinhalt oder dessen Cluster Runs). Einträge können zudem $ATTRIBUTE_LIST, $OBJECT_ID, $SECURITY_DESCRIPTOR, $INDEX_ROOT, $INDEX_ALLOCATION, $BITMAP, $REPARSE_POINT, $EA und $LOGGED_UTILITY_STREAM tragen.
Wie extrahiere ich die $MFT aus einem Windows-System?
Die $MFT ist die erste Datei auf jedem NTFS-Volume und ist während des Windows-Betriebs gesperrt. Verwenden Sie Forensik-Tools wie FTK Imager, KAPE oder den Windows-Befehl „fsutil“, um eine Kopie aus einem laufenden System zu exportieren, oder lesen Sie sie direkt aus einem Disk-Image.
Wie repariere ich eine beschädigte Master File Table?
Erstellen Sie zuerst ein Image des Datenträgers. Führen Sie dann chkdsk /f gegen das Image aus (schnell, kann unlesbare Einträge verwerfen) oder verwenden Sie ein Recovery-Tool, das das rohe Volume nach „FILE“-Signaturen scannt und Einträge rekonstruiert (langsam, bewahrt mehr Beweise). Führen Sie chkdsk niemals auf dem Original aus, bevor Sie ein Image haben.
Lädt dieses Tool meine $MFT irgendwo hoch?
Nein. Die Analyse läuft in einem Web Worker über WebAssembly. Die Datei wird in den Speicher Ihres Browsers geladen und niemals übertragen. Sie können Ihr Netzwerk trennen, um es zu prüfen.
Warum sind manche Einträge als gelöscht markiert?
Jeder MFT-Eintrag hat ein „in Benutzung“-Flag. Wenn eine Datei gelöscht wird, wird das Flag entfernt, der Eintrag bleibt jedoch bis zur Wiederverwendung in der $MFT. Solche gelöschten Einträge enthalten oft noch wiederherstellbare Dateinamen, Zeitstempel und sogar residente Daten.
Kann es sehr große $MFT-Dateien verarbeiten?
Die Analyse läuft in einem dedizierten Web-Worker-Thread. Der Speicherverbrauch skaliert linear mit der Dateigröße. Mehrere Gigabyte große $MFT-Dateien funktionieren in modernen Browsern, das initiale Einlesen in den Speicher dauert jedoch einen Moment.