Notes de forensique
Notes courtes sur les internes NTFS, la structure MFT et les workflows de forensique numérique.
Prouver qu'un fichier a existé alors qu'il n'est plus sur le disque
Quand dir revient vide, $MFT répond souvent encore. Guide de praticien pour démontrer l'existence antérieure d'un fichier à partir des métadonnées NTFS, avec les nuances qui tiennent en revue.
$UsnJrnl et $MFT : journal et table de fichiers
Le $MFT vous dit l'état actuel de chaque fichier d'un volume NTFS. Le $UsnJrnl dit comment chacun y est arrivé — ensemble ils reconstruisent une timeline.
Master File Table (MFT) : la $MFT NTFS expliquée
Ce qu'est la Master File Table NTFS, comment est structuré un enregistrement, quels attributs il transporte, ce que signifient les fichiers système au début, et quoi faire quand $MFT est corrompue.
À quoi ressemble le ransomware dans $MFT
Changements massifs d'extension, écritures en rafale, originaux supprimés et les motifs qui apparaissent dans la Master File Table pendant une passe de chiffrement. Vue de praticien sur le triage.
Les parsers MFT qui tiennent vraiment : MFTECmd, omerbenamram/mft et le parsing navigateur
Trois parsers MFT sérieux comparés par quelqu'un qui utilise les trois. Quand prendre MFTECmd, quand scripter avec omerbenamram/mft et quand le parser navigateur est la bonne réponse.
Récupérer les fichiers supprimés sur NTFS en utilisant la MFT
Flux de récupération de praticien sur NTFS : quand les fichiers supprimés sont récupérables, les outils à utiliser, les cas où les données sont vraiment perdues, et l'astuce des données résidentes.
Construire une timeline depuis $MFT qui tient la revue
Approche pratique du timelining basé sur la MFT : quels horodatages émettre, comment fusionner avec USN et journaux d'événements, et où les super-timelines naïves induisent en erreur.
Parser $MFT depuis Python sans y perdre votre week-end
Trois approches qui marchent pour parser NTFS $MFT en Python : analyzeMFT pour du pur Python, libmft pour un modèle d'objets typé, ou shell out vers un parser Rust quand la vitesse compte.
Alternate Data Streams : le second attribut $DATA que tout le monde oublie
Les attributs $DATA nommés accompagnent le fichier que vous pouvez voir. Le point de vue d'un praticien sur les endroits où se cachent les ADS, ce à quoi Windows les utilise, et pourquoi un triage MFT les trouve là où une énumération par fichier échoue.
Ce que fait vraiment $MFTMirr et quand NTFS l'utilise
$MFTMirr reflète les premiers enregistrements de $MFT pour que le volume puisse être monté quand l'en-tête de la table principale est illisible. Où il vit, ce qu'il contient et les cas où il gagne sa place.
Extraire $MFT d'un hôte Windows vivant sans le casser
Trois façons fiables d'obtenir une $MFT forensiquement saine depuis un système Windows en marche, les erreurs qui corrompent la copie en silence, et ce qu'il faut vérifier avant de faire confiance au fichier.
Volume Shadow Copy et $MFT : anciennes versions
Chaque snapshot VSS contient sa propre copie figée de $MFT. Comment les extraire, et ce qu'ils révèlent que la MFT vivante ne peut pas montrer.
Pourquoi NTFS donne à la forensique tellement plus que FAT n'en a jamais donné
FAT enregistre le cluster suivant. NTFS enregistre tout. Vue de praticien sur ce que le passage de FAT à la Master File Table a vraiment changé pour la récupération de preuves.
Ce qui survit vraiment quand un fichier est supprimé sous NTFS
La suppression sous NTFS efface un bit et met à jour une entrée d'index. L'enregistrement, les attributs et souvent les données attendent. Vue de praticien sur ce qui est récupérable et pour combien de temps.
Données résidentes : les minuscules fichiers qui vivent dans la MFT
Les petits fichiers stockent leur attribut $DATA entier à l'intérieur de l'enregistrement MFT. Le seuil de taille, les cas où cela sauve votre enquête et les limites du truc.
Anti-forensique NTFS : ce que les attaquants font vraiment, et ce qui les trahit
Timestomping, charges utiles en ADS, suppression de l'USN, gribouillis dans la MFT. Catalogue de praticien de l'anti-forensique NTFS avec les artefacts spécifiques que chaque technique échoue à nettoyer.
Les quatre horodatages MFT et comment le timestomping s'y manifeste
Chaque enregistrement MFT porte deux jeux de quatre horodatages. Pourquoi ils divergent, à quoi ressemble la divergence sous manipulation et l'indice sous-seconde qui attrape les outils paresseux.
À l'intérieur d'un enregistrement MFT, octet par octet
Une lecture rapprochée d'un enregistrement FILE de 1 024 octets : la signature, l'en-tête, le tableau de fixup, le flux d'attributs et les champs qui comptent quand on lit des octets bruts dans un éditeur hexadécimal.