Parseur MFT — analyseur $MFT NTFS dans le navigateur

Un parseur MFT qui s'exécute entièrement dans votre navigateur. Déposez un fichier $MFT NTFS et inspectez chaque enregistrement — entrées supprimées, horodatages $STANDARD_INFORMATION et $FILE_NAME, flux de données alternatifs, données résidentes — sans envoyer un seul octet. WebAssembly sous le capot, le crate Rust omerbenamram/mft pour le parsing.

À propos de ce parseur MFT

Un parseur MFT lit la Master File Table NTFS — le fichier $MFT au début de chaque volume NTFS — et transforme ses enregistrements de 1 024 octets en quelque chose qu'un analyste forensique peut exploiter : noms de fichiers, horodatages, dossiers parents, flux de données alternatifs, entrées supprimées et données résidentes. Ce site est l'un de ces parseurs. Il s'exécute dans votre navigateur.

Déposez un fichier $MFT sur la zone ci-dessus. Le fichier est chargé dans la mémoire du navigateur, analysé par le crate Rust omerbenamram/mft compilé en WebAssembly, et rendu sous forme de table paginée et recherchable. Rien n'est envoyé — vous pouvez vérifier en coupant votre réseau avant de déposer le fichier. L'export CSV et un rapport de triage sont disponibles pour l'analyse aval.

Ce qu'il vous montre

  • Chaque enregistrement MFT, alloué ou supprimé, avec le drapeau in-use exposé.
  • Les deux jeux d'horodatages — $STANDARD_INFORMATION et $FILE_NAME — pour repérer le timestomping d'un coup d'œil.
  • Les flux de données alternatifs attachés à chaque enregistrement, y compris Zone.Identifier.
  • Les octets $DATA résidents pour les petits fichiers — souvent la seule version récupérable après suppression.
  • La reconstruction du chemin complet en parcourant les références parentes à travers la table.

Comment il se compare aux autres parseurs MFT

Sur un poste d'analyse Windows, MFTECmd est le CLI standard et produit le CSV attendu par Timeline Explorer et KAPE. Pour scripter sous Linux, le CLI et le crate Rust omerbenamram/mft émettent du JSON Lines. Ce parseur navigateur occupe le troisième créneau : zéro installation, fonctionne partout où un navigateur fonctionne, adapté au triage rapide et aux situations où les preuves ne peuvent pas être envoyées à un service cloud. Comparaison complète dans l'article Comparatif des parseurs MFT.

Obtenir un $MFT à analyser

$MFT est verrouillé pendant l'exécution de Windows. Pour en extraire une copie, utilisez fsutil sur un système vivant, FTK Imager contre un disque physique, ou la cible MFT de KAPE pour une collecte de triage complète. Pas à pas dans comment extraire $MFT d'un système Windows en cours d'exécution.

FAQ forensique

Qu'est-ce que la Master File Table ?
La Master File Table ($MFT) est l'index de métadonnées de NTFS. Chaque fichier et dossier du volume possède au moins un enregistrement de 1 024 octets dans $MFT décrivant son nom, ses attributs, ses horodatages et la localisation de ses données sur le disque.
Que signifie MFT ?
MFT signifie Master File Table. Sur disque, on l'écrit $MFT — le signe dollar est la convention NTFS pour les fichiers de métadonnées.
Quels attributs de fichier sont stockés dans la Master File Table ?
Chaque enregistrement porte $STANDARD_INFORMATION (horodatages, drapeaux DOS), $FILE_NAME (nom et un second jeu d'horodatages) et $DATA (le contenu du fichier ou ses cluster runs). Les enregistrements peuvent aussi porter $ATTRIBUTE_LIST, $OBJECT_ID, $SECURITY_DESCRIPTOR, $INDEX_ROOT, $INDEX_ALLOCATION, $BITMAP, $REPARSE_POINT, $EA et $LOGGED_UTILITY_STREAM.
Comment extraire $MFT d'un système Windows ?
$MFT est le premier fichier de tout volume NTFS et il est verrouillé pendant l'exécution de Windows. Utilisez un outil de forensique comme FTK Imager, KAPE ou la commande Windows « fsutil » pour exporter une copie depuis un système en cours d'exécution, ou lisez-le directement depuis une image disque.
Comment réparer une Master File Table corrompue ?
Imagez le disque avant toute autre chose. Lancez ensuite chkdsk /f sur l'image (rapide, peut écarter des enregistrements illisibles) ou utilisez un outil de récupération qui scanne le volume brut à la recherche de signatures « FILE » et reconstitue les enregistrements (lent, préserve plus de preuves). N'exécutez jamais chkdsk sur l'original avant l'imagerie.
Mon $MFT est-il envoyé quelque part ?
Non. L'analyse se déroule dans un Web Worker via WebAssembly. Le fichier est chargé dans la mémoire de votre navigateur et n'est jamais transmis. Vous pouvez couper votre réseau pour le vérifier.
Pourquoi certaines entrées sont-elles marquées supprimées ?
Chaque enregistrement MFT possède un drapeau « en cours d'utilisation ». Lorsqu'un fichier est supprimé, le drapeau est effacé mais l'enregistrement reste dans $MFT jusqu'à réutilisation. Ces entrées supprimées conservent souvent le nom de fichier, les horodatages et parfois même les données résidentes.
Peut-il traiter de très gros fichiers $MFT ?
L'analyse tourne dans un thread Web Worker dédié. La mémoire utilisée croît linéairement avec la taille du fichier. Les fichiers $MFT de plusieurs gigaoctets fonctionnent sur les navigateurs modernes, mais la lecture initiale en mémoire prend quelques instants.