Forensik-Notizen
Kurze Notizen zu NTFS-Internas, MFT-Struktur und digitalen Forensik-Workflows.
Beweisen, dass eine Datei einmal existierte, wenn sie nicht mehr auf der Platte ist
Wenn dir dir leer zurückkommt, antwortet $MFT oft trotzdem. Ein Praktiker-Leitfaden zum Nachweis der früheren Existenz einer Datei aus NTFS-Metadaten, mit den Vorbehalten, die der Prüfung standhalten.
$UsnJrnl und $MFT: Change Journal mit Dateitabelle
Die $MFT sagt dir den aktuellen Zustand jeder Datei. Das $UsnJrnl sagt dir, wie jede dort hingelangte — gemeinsam rekonstruieren sie die NTFS-Timeline.
Master File Table (MFT): die NTFS $MFT erklärt
Was die NTFS Master File Table ist, wie ein Datensatz aufgebaut ist, welche Attribute er enthält, was die Systemdateien am Anfang bedeuten und was zu tun ist, wenn $MFT beschädigt ist.
Wie Ransomware in $MFT aussieht
Massenhafte Erweiterungsänderungen, Schreib-Bursts, gelöschte Originale und die Muster, die während eines Verschlüsselungslaufs in der Master File Table erscheinen. Eine Praktikersicht auf die Triage.
MFT-Parser, die wirklich halten: MFTECmd, omerbenamram/mft und Browser-Parsing
Drei ernsthafte MFT-Parser, verglichen von jemandem, der alle drei nutzt. Wann man zu MFTECmd greift, wann man mit omerbenamram/mft scriptet und wann der Browser-Parser die richtige Antwort ist.
Gelöschte Dateien von NTFS mit der MFT wiederherstellen
Ein Praktiker-Workflow zur Wiederherstellung auf NTFS: wann gelöschte Dateien wiederherstellbar sind, zu welchen Tools man greift, die Fälle, in denen die Daten wirklich weg sind, und der Trick mit residenten Daten.
Eine $MFT-Timeline erstellen, die einer Prüfung standhält
Ein praxisorientierter Ansatz für MFT-basiertes Timelining: welche Zeitstempel ausgegeben werden, wie man sie mit USN und Ereignisprotokollen zusammenführt und wo naive Super-Timelines in die Irre führen.
$MFT in Python parsen, ohne dein Wochenende zu verlieren
Drei funktionierende Ansätze zum Parsen von NTFS $MFT in Python: analyzeMFT für reines Python, libmft für ein typisiertes Objektmodell, oder Aufruf eines Rust-Parsers, wenn Geschwindigkeit zählt.
Alternate Data Streams: das zweite $DATA-Attribut, das jeder vergisst
Benannte $DATA-Attribute begleiten die Datei, die du sehen kannst. Eine Praktikersicht darauf, wo ADS sich versteckt, wofür Windows sie nutzt und warum MFT-Triage sie findet, wenn die dateibasierte Enumeration es nicht tut.
Was $MFTMirr tatsächlich tut und wann NTFS es verwendet
$MFTMirr spiegelt die ersten Datensätze von $MFT, damit das Volume mounten kann, wenn der Header der Haupttabelle unlesbar ist. Wo es liegt, was es enthält und die Fälle, in denen es seinen Wert beweist.
$MFT von einem laufenden Windows-Host extrahieren, ohne es zu zerstören
Drei zuverlässige Wege, eine forensisch saubere $MFT von einem laufenden Windows-System zu holen, die Fehler, die die Kopie still und leise korrumpieren, und was vor dem Vertrauen verifiziert werden muss.
Volume Shadow Copy und $MFT: ältere MFT-Versionen
Jeder VSS-Snapshot enthält seine eigene Momentaufnahme von $MFT. Wie Sie sie extrahieren und was sie offenlegen, was die Live-MFT nicht zeigt.
Warum NTFS der Forensik so viel mehr gibt, als FAT es je tat
FAT speichert den nächsten Cluster. NTFS speichert alles. Eine Praktikersicht darauf, was der Wechsel von FAT zur Master File Table für die Beweissicherung tatsächlich verändert hat.
Was tatsächlich überlebt, wenn eine Datei auf NTFS gelöscht wird
Löschen auf NTFS löscht ein Bit und aktualisiert einen Indexeintrag. Datensatz, Attribute und häufig die Daten warten geduldig. Eine Praktikersicht darauf, was wiederherstellbar ist und wie lange.
Residente Daten: winzige Dateien, die in der MFT leben
Kleine Dateien speichern ihr gesamtes $DATA-Attribut innerhalb des MFT-Datensatzes. Die Größenschwelle, die Fälle, in denen das deine Untersuchung rettet, und die Grenzen des Tricks.
NTFS-Anti-Forensik: was Angreifer tatsächlich tun und was sie verrät
Timestomping, ADS-Payloads, USN-Löschung, MFT-Kritzeleien. Ein Praktiker-Katalog der NTFS-Anti-Forensik mit den spezifischen Artefakten, die jede Technik nicht säubert.
Die vier MFT-Zeitstempel und wie Timestomping in ihnen sichtbar wird
Jeder MFT-Datensatz trägt zwei Sätze von vier Zeitstempeln. Warum sie divergieren, wie die Divergenz unter Manipulation aussieht und der Sub-Sekunden-Hinweis, der faule Tools entlarvt.
Innerhalb eines MFT-Datensatzes, Byte für Byte
Eine genaue Lesung eines 1.024-Byte-FILE-Datensatzes: die Signatur, der Header, das Fixup-Array, der Attributstrom und die Felder, die zählen, wenn du rohe Bytes in einem Hex-Editor liest.