Forensik-Notizen
Kurze Notizen zu NTFS-Internas, MFT-Struktur und digitalen Forensik-Workflows.
Beweisen, dass eine Datei auf Windows existierte
Wenn eine Datei nicht mehr auf der Platte liegt, kann die $MFT noch zeigen, dass sie da war — und oft, was sie enthielt.
$UsnJrnl und $MFT: Change Journal mit Dateitabelle
Die $MFT sagt dir den aktuellen Zustand jeder Datei. Das $UsnJrnl sagt dir, wie jede dort hingelangte — gemeinsam rekonstruieren sie die NTFS-Timeline.
Master File Table (MFT): die NTFS-$MFT erklärt
Was die NTFS Master File Table ist, wie ein Eintrag aufgebaut ist, welche Attribute sie speichert und was bei einer beschädigten $MFT zu tun ist.
Wie die $MFT einen Ransomware-Angriff verrät
Ransomware hinterlässt einen unverkennbaren Fußabdruck in der $MFT: Endungsänderungen, Schreib-Bursts und verwaiste Originale.
MFT-Parser: MFTECmd, omerbenamram/mft und Browser
Drei ernstzunehmende MFT-Parser, was jeder gut kann und wann Sie zu welchem greifen: MFTECmd, omerbenamram/mft und ein WebAssembly-Tool im Browser.
Gelöschte Dateien auf NTFS über die MFT wiederherstellen
Schritt für Schritt: wie die Wiederherstellung gelöschter Dateien auf NTFS funktioniert, welche Tools sich eignen und wann die Daten wirklich verloren sind.
Eine forensische Zeitleiste aus der $MFT bauen
Jeder MFT-Eintrag trägt die acht Zeitstempel, mit denen sich die Aktivität eines Windows-Volumes Stunde für Stunde rekonstruieren lässt.
Wie man eine NTFS $MFT in Python parst
Drei funktionierende Ansätze, NTFS $MFT in Python zu parsen — analyzeMFT, libmft und die Ausführung eines schnellen Rust-Parsers — mit Codebeispielen und Benchmarks.
Alternate Data Streams: versteckte $DATA-Attribute auf NTFS
Jede NTFS-Datei kann mehrere $DATA-Attribute tragen. Jeder davon ist ein eigener Stream, in den meisten Datei-Listings unsichtbar.
Was ist $MFTMirr und wann nutzt NTFS sie?
$MFTMirr ist die Sicherung der ersten MFT-Einträge, mit der NTFS sich von Boot-Bereich-Korruption erholt. Was sie enthält, wo sie liegt, wie chkdsk sie nutzt.
Wie man $MFT von einem laufenden Windows-System extrahiert
$MFT ist gesperrt, solange Windows läuft. Drei zuverlässige Wege, eine forensisch saubere Kopie zu bekommen: fsutil, FTK Imager und KAPE-Targets.
Volume Shadow Copy und $MFT: ältere MFT-Versionen
Jeder VSS-Snapshot enthält seine eigene Momentaufnahme von $MFT. Wie Sie sie extrahieren und was sie offenlegen, was die Live-MFT nicht zeigt.
NTFS MFT vs FAT: was sich geändert hat für die Forensik
Wie NTFS die FAT-Belegungstabelle durch die Master File Table ersetzte und was dieser Wechsel für die Beweissicherung auf modernen Windows-Volumes bedeutet.
Was beim Löschen einer Datei auf NTFS übrig bleibt
Eine Datei auf NTFS zu löschen vernichtet sie selten. Der MFT-Eintrag, $STANDARD_INFORMATION, $FILE_NAME und oft $DATA warten auf Wiederverwendung.
Residente Daten: winzige Dateien innerhalb der MFT
Bei kleinen Dateien steckt das gesamte $DATA-Attribut direkt im MFT-Eintrag. Für die Forensik heißt das: Wiederherstellung, ohne den Datenträger anzufassen.
NTFS-Anti-Forensik: Angreifer-Taktiken an der MFT
Timestomping, alternative Datenströme, Wiping, USN-Journal-Manipulation — die gängigen Anti-Forensik-Techniken auf NTFS und die Artefakte, die jede hinterlässt.
Die vier MFT-Zeitstempel und wie Timestomping aussieht
Jeder MFT-Eintrag trägt zwei Sätze von vier Zeitstempeln. Zu verstehen, warum sie auseinanderdriften, ist die Grundlage der NTFS-Zeitanalyse.
Anatomie eines MFT-Eintrags: Signatur, Header und Attribute
Byteweise Tour durch einen NTFS-$MFT-Eintrag — die FILE-Signatur, der Eintrags-Header, das Fixup-Array und der Attributstrom.