← Zurück zum Blog

Wie man $MFT von einem laufenden Windows-System extrahiert

· 2 Min. Lesezeit

$MFT liegt am Anfang jedes NTFS-Volumes, doch Windows hält darauf einen exklusiven Lock, solange das Volume gemountet ist. Mit xcopy lässt es sich nicht einfach kopieren. Man braucht ein Tool, das das Volume roh liest und am Lock des Dateisystems vorbeigeht. Drei zuverlässige Optionen.

fsutil (eingebaut)

Windows liefert einen Befehl, um $MFT auf der Platte zu finden:

fsutil file queryextents C:\$Mft > mft-extents.txt

Das liefert die Cluster Runs, die $MFT belegt. Ein roher Lesevorgang dieser Cluster reproduziert die Datei. Funktioniert auf jeder modernen Windows-Installation, erfordert Adminrechte und hinterlässt keine Spuren auf dem Ziel.

Nachteil: Die Runs muss man immer noch selbst zusammensetzen. Für die meisten Ermittler ein Baustein, keine fertige Antwort.

FTK Imager

FTK Imager ist das Standard-Freeware-Tool für forensische Akquise. Um $MFT zu greifen:

  1. File → Add Evidence Item → Physical Drive
  2. Datenträger wählen
  3. Im Baum bis zur Wurzel des NTFS-Volumes navigieren und $MFT finden
  4. Rechtsklick → Export Files

Das erzeugt eine Kopie von $MFT als normale Datei, die man mitnehmen kann. FTK Imager liest auch Disk Images (.dd, .E01), sodass derselbe Ablauf auf Offline-Beweisen funktioniert.

KAPE

Für breitere Sammlungen automatisiert KAPE (Kroll Artifact Parser and Extractor) die gesamte Artefaktliste. Die KAPETargets-Bibliothek enthält ein MFT-Target, das $MFT, $LogFile, $UsnJrnl und weitere Stützartefakte in einem Durchlauf einsammelt:

kape.exe --tsource C: --target MFT --tdest C:\triage

KAPE löst das Locked-File-Problem unter der Haube, bewahrt die Zeitstempel der gesammelten Dateien und schreibt ein aufgeräumtes Verzeichnis, das du zur Analyse mitnimmst. Das ist der empfohlene Weg für jede Incident-Response-Sammlung.

Aus einem Disk Image lesen

Wenn du bereits ein Disk Image hast, umgehst du das Lock-Problem komplett. Mounte das Image read-only oder nutze einen Parser, der rohe Images direkt frisst. $MFT liegt nahe am Anfang jedes NTFS-Volumes — der Boot-Sektor an Offset 0 verweist darauf.

Eine Anmerkung zur Integrität

Egal welchen Weg du wählst: Hash $MFT (SHA-256) sofort nach der Akquise und erneut vor der Analyse. Die Datei ist groß und Analyse-Tools kürzen gelegentlich. Ein vorgeschalteter Hash-Vergleich erspart stundenlanges Debuggen am falschen Beweismaterial.

Verwandte Artikel

Externe Ressourcen