← Zurück zum Blog

Eine forensische Zeitleiste aus der $MFT bauen

· 2 Min. Lesezeit

Eine forensische Zeitleiste beantwortet eine einzige Frage: Was geschah auf dieser Maschine, in welcher Reihenfolge? Auf NTFS ist die $MFT die dichteste Einzelquelle für die Antwort. Jede Datei und jedes Verzeichnis im Volume erzeugt zwischen vier und acht zeitgestempelte Ereignisse — und sie alle stecken in derselben Datei.

Was du aus jedem Eintrag bekommst

Jeder MFT-Eintrag besitzt zwei Attribute mit Zeitstempeln:

  • $STANDARD_INFORMATION (SI) — erstellt, geändert, zugegriffen, MFT-geändert
  • $FILE_NAME (FN) — erstellt, geändert, zugegriffen, MFT-geändert

Jeder Zeitstempel kann zu einem eigenen Zeitleisten-Ereignis werden. Eine einzelne Datei produziert bis zu acht Zeilen: „SI erstellt", „FN erstellt", „SI geändert" und so weiter. Wer die gesamte MFT durchläuft und pro Zeitstempel eine Zeile ausgibt, erhält in einem Durchgang eine „Supertimeline" aller Dateiereignisse, an die sich das Volume erinnert.

Wie du sie ausgibst

Das kanonische Format ist mactime — eine Zeile pro Ereignis, sortiert nach Zeitstempel:

2026-05-15T10:23:01Z|FILE|allocated|/Users/alice/notes.txt|SI created
2026-05-15T10:23:01Z|FILE|allocated|/Users/alice/notes.txt|FN created
2026-05-15T10:24:18Z|FILE|allocated|/Users/alice/notes.txt|SI modified

Sechs Spalten — Zeitstempel, Typ, Status, Pfad, Attribut, Ereignis — und deine Zeitleiste ist bereit für grep und Visualisierung.

Querverweise für den Kontext

Die $MFT allein sagt dir wann sich Dateien geändert haben. Sie sagt nicht warum. Kombiniere sie mit:

  • $UsnJrnl für die Reihenfolge der Dateisystemoperationen
  • $LogFile für transaktionsfeine Details in den Sekunden vor einem Crash
  • Prefetch-Dateien (.pf) als Hinweis auf Programmausführungen
  • Registry-Transaktionslogs für Konfigurationsänderungen

Eine Zeitleiste, die diese Quellen verschmilzt, kann eine Angreifer-Session oft Minute für Minute rekonstruieren — selbst wenn einzelne Logs gelöscht wurden.

Anomalien schnell erkennen

Sobald die Zeitleiste sortiert ist, fallen Anomalien auf:

  • ein Burst von Dateiänderungen um 3 Uhr morgens, gefolgt von Löschungen — klassische Ransomware-Vorbereitung
  • eine lange nicht angefasste Systemdatei mit frischem Modified-Zeitstempel — möglicherweise eingespritzte Persistenz
  • Hunderte Dateien mit derselben Erstellungssekunde — Installer-Fußabdruck oder Massen-Staging

Die MFT interpretiert nichts — sie zeigt nur. Die Interpretation ist Aufgabe der Analystin.

Verwandte Artikel

Externe Ressourcen