← Retour au blog

Construire une chronologie forensique à partir du $MFT

· Lecture 2 min

Une chronologie forensique répond à une seule question : qu'est-ce qui s'est passé sur cette machine, et dans quel ordre ? Sur NTFS, le $MFT est la source unique la plus dense pour y répondre. Chaque fichier et dossier du volume produit entre quatre et huit événements horodatés — et tous sont dans un même fichier.

Ce que chaque enregistrement vous donne

Chaque entrée MFT possède deux attributs porteurs d'horodatages :

  • $STANDARD_INFORMATION (SI) — création, modification, accès, modification MFT
  • $FILE_NAME (FN) — création, modification, accès, modification MFT

Chaque horodatage devient un événement de chronologie. Un seul fichier produit jusqu'à huit lignes : « SI création », « FN création », « SI modification » et ainsi de suite. Parcourir l'ensemble du MFT et émettre une ligne par horodatage donne, en une passe, une « supertimeline » de tous les événements de fichiers dont le volume se souvient.

Le format à adopter

Le format canonique est mactime — une ligne par événement, triée par horodatage :

2026-05-15T10:23:01Z|FILE|allocated|/Users/alice/notes.txt|SI created
2026-05-15T10:23:01Z|FILE|allocated|/Users/alice/notes.txt|FN created
2026-05-15T10:24:18Z|FILE|allocated|/Users/alice/notes.txt|SI modified

Six colonnes — horodatage, type, état, chemin, attribut, événement — et la chronologie est prête pour grep et la visualisation.

Croiser pour comprendre le contexte

Le $MFT seul vous dit quand les fichiers ont changé. Il ne dit pas pourquoi. Croisez-le avec :

  • $UsnJrnl pour la séquence des opérations du système de fichiers
  • $LogFile pour le détail au niveau transaction dans les secondes avant un crash
  • les fichiers Prefetch (.pf) comme preuves d'exécution de programmes
  • les journaux de transactions du Registre pour les changements de configuration

Une chronologie qui fusionne ces sources permet souvent de reconstruire la session d'un attaquant minute par minute, même si certains journaux ont été effacés.

Repérer rapidement les anomalies

Une fois la chronologie triée, les anomalies sautent aux yeux :

  • une rafale de modifications de fichiers à 3 h du matin suivie de suppressions — préparation classique d'un ransomware ;
  • un fichier système longtemps inchangé avec un horodatage de modification récent — possible injection de persistance ;
  • des centaines de fichiers avec la même seconde de création — empreinte d'installateur ou mise en scène massive.

Le MFT n'interprète pas ces signaux ; il les montre. L'interprétation, c'est le métier de l'analyste.

Articles liés

Ressources externes