← Retour au blog

Comment extraire $MFT d'un Windows en cours

· Lecture 2 min

$MFT se trouve au début de tout volume NTFS, mais Windows en garde un verrou exclusif tant que le volume est monté. Vous ne pouvez pas le copier avec un simple xcopy. Il vous faut un outil qui lit le volume brut en contournant le verrou du système de fichiers. Voici trois options fiables.

fsutil (intégré)

Windows fournit une commande pour localiser $MFT sur le disque :

fsutil file queryextents C:\$Mft > mft-extents.txt

Vous obtenez les cluster runs occupés par $MFT. Une lecture brute de ces clusters reproduit le fichier. Cela fonctionne sur toute installation Windows moderne, exige les droits administrateur et ne laisse aucun effet de bord sur la cible.

L'inconvénient : vous devez encore assembler les runs vous-même. Pour la plupart des enquêteurs, c'est une brique, pas une réponse finale.

FTK Imager

FTK Imager est l'outil gratuit de référence pour l'acquisition forensique. Pour récupérer $MFT :

  1. File → Add Evidence Item → Physical Drive
  2. Choisir le disque
  3. Naviguer dans l'arbre jusqu'à la racine du volume NTFS pour trouver $MFT
  4. Clic droit → Export Files

Vous obtenez une copie de $MFT sous forme de fichier ordinaire que vous pouvez emporter. FTK Imager lit aussi les images disque (.dd, .E01), donc le même flux fonctionne sur des preuves hors-ligne.

KAPE

Pour des collectes plus larges, KAPE (Kroll Artifact Parser and Extractor) automatise toute la liste d'artefacts. La bibliothèque KAPETargets contient une cible MFT qui récupère $MFT, $LogFile, $UsnJrnl et d'autres artefacts associés en une seule passe :

kape.exe --tsource C: --target MFT --tdest C:\triage

KAPE gère le problème du fichier verrouillé en interne, conserve les horodatages des fichiers collectés et écrit un répertoire propre que vous emportez vers l'analyse. C'est la voie recommandée pour toute collecte de réponse à incident.

Lire depuis une image disque

Si vous disposez déjà d'une image disque, vous évitez totalement le problème de verrouillage. Montez l'image en lecture seule, ou utilisez un parseur qui consomme directement les images brutes. $MFT se trouve près du début de tout volume NTFS — le secteur de démarrage à l'offset 0 y pointe.

Note sur l'intégrité

Quel que soit le chemin choisi, hachez $MFT (SHA-256) immédiatement après l'acquisition, puis à nouveau avant l'analyse. Le fichier est volumineux et certains outils tronquent à l'occasion. Une comparaison de hash en amont évite des heures de débogage sur la mauvaise preuve.

Articles liés

Ressources externes