Notes de forensique
Notes courtes sur les internes NTFS, la structure MFT et les workflows de forensique numérique.
Prouver qu'un fichier a existé sur un système Windows
Quand un fichier n'est plus sur le disque, le $MFT peut encore démontrer qu'il y était — et souvent, ce qu'il contenait.
$UsnJrnl et $MFT : journal et table de fichiers
Le $MFT vous dit l'état actuel de chaque fichier d'un volume NTFS. Le $UsnJrnl dit comment chacun y est arrivé — ensemble ils reconstruisent une timeline.
Master File Table (MFT) : la $MFT NTFS expliquée
Ce qu'est la Master File Table NTFS, comment un enregistrement est structuré, quels attributs il porte, et que faire quand $MFT est corrompue.
Comment le $MFT révèle une attaque par ransomware
Un ransomware laisse une empreinte distinctive dans le $MFT : changements d'extensions, écritures en rafale, originaux orphelins.
Parseurs MFT : MFTECmd, omerbenamram/mft et navigateur
Trois parseurs MFT sérieux, ce que chacun fait bien, et quand utiliser lequel : MFTECmd, omerbenamram/mft, et un outil WebAssembly côté navigateur.
Récupérer des fichiers supprimés sur NTFS via la MFT
Pas à pas : comment fonctionne la récupération de fichiers supprimés sur NTFS, quels outils utiliser, et quand les données sont vraiment perdues.
Construire une chronologie forensique à partir du $MFT
Chaque enregistrement MFT porte les huit horodatages nécessaires pour reconstruire l'activité d'un volume Windows heure par heure.
Comment analyser $MFT en Python
Trois approches éprouvées pour analyser une $MFT NTFS en Python : analyzeMFT, libmft, et appeler un parseur Rust rapide.
Alternate Data Streams : les attributs $DATA cachés de NTFS
Tout fichier NTFS peut porter plusieurs attributs $DATA. Chacun est un flux distinct, invisible pour la plupart des listings de fichiers.
Qu'est-ce que $MFTMirr et quand NTFS s'en sert ?
$MFTMirr est la sauvegarde des premiers enregistrements MFT — NTFS s'en sert pour récupérer après corruption du boot. Contenu, emplacement, usage par chkdsk.
Comment extraire $MFT d'un Windows en cours
$MFT est verrouillé pendant que Windows tourne. Trois moyens fiables d'en obtenir une copie : fsutil, FTK Imager et KAPE.
Volume Shadow Copy et $MFT : anciennes versions
Chaque snapshot VSS contient sa propre copie figée de $MFT. Comment les extraire, et ce qu'ils révèlent que la MFT vivante ne peut pas montrer.
MFT NTFS vs FAT : ce qui change pour le forensique
Comment NTFS a remplacé la table d'allocation FAT par la Master File Table, et ce que cela change pour la récupération de preuves.
Ce qui survit quand vous supprimez un fichier sur NTFS
Supprimer un fichier sur NTFS ne l'efface presque jamais. L'enregistrement MFT, $STANDARD_INFORMATION, $FILE_NAME et souvent $DATA attendent leur réutilisation.
Données résidentes : petits fichiers dans le MFT
Les petits fichiers ont leur attribut $DATA stocké directement dans l'enregistrement MFT. En forensique, cela permet une récupération sans toucher au disque.
Anti-forensique NTFS : tactiques des attaquants
Timestomping, flux de données alternatifs, effacement, manipulation de l'USN journal — techniques anti-forensiques courantes sur NTFS et leurs artefacts.
Les quatre horodatages MFT et la signature du timestomping
Chaque enregistrement MFT porte deux jeux de quatre horodatages. Comprendre pourquoi ils divergent est la base de l'analyse temporelle NTFS.
Anatomie d'un enregistrement MFT : en-tête, attributs
Visite octet par octet d'un enregistrement $MFT NTFS — la signature FILE, l'en-tête, le tableau fixup et le flux d'attributs.