Parser MFT — analizzatore $MFT NTFS lato browser

Un parser MFT che gira interamente nel tuo browser. Trascina un file $MFT NTFS e ispeziona ogni record — voci eliminate, timestamp $STANDARD_INFORMATION e $FILE_NAME, flussi di dati alternativi, dati resident — senza inviare un solo byte. WebAssembly sotto il cofano, il crate Rust omerbenamram/mft per il parsing.

Informazioni su questo parser MFT

Un parser MFT legge la Master File Table NTFS — il file $MFT all'inizio di ogni volume NTFS — e trasforma i suoi record da 1.024 byte in qualcosa con cui un analista forense può lavorare: nomi di file, timestamp, directory genitore, flussi di dati alternativi, voci cancellate e dati residenti. Questo sito è uno di quei parser. Funziona nel tuo browser.

Trascina un file $MFT nell'area in alto. Il file viene letto nella memoria del browser, analizzato dal crate Rust omerbenamram/mft compilato in WebAssembly, e mostrato in una tabella paginata e ricercabile. Niente viene caricato — puoi verificarlo disconnettendo la rete prima di trascinare il file. Sono disponibili esportazione CSV e un report di triage per l'analisi a valle.

Cosa ti mostra

  • Ogni record MFT, allocato o cancellato, con il flag in-use esposto.
  • Entrambi i set di timestamp — $STANDARD_INFORMATION e $FILE_NAME — per individuare il timestomping a colpo d'occhio.
  • I flussi di dati alternativi associati a ciascun record, incluso Zone.Identifier.
  • I byte $DATA residenti dei file piccoli — spesso l'unica versione recuperabile dopo la cancellazione.
  • Ricostruzione completa del path seguendo le referenze genitore attraverso la tabella.

Come si confronta con altri parser MFT

Su una workstation di analisi Windows, MFTECmd è il CLI standard e produce il CSV che Timeline Explorer e KAPE si aspettano. Per lo scripting su Linux, il CLI e il crate Rust omerbenamram/mft emettono JSON Lines. Questo parser nel browser copre il terzo slot: zero installazione, funziona ovunque ci sia un browser, adatto al triage rapido e alle situazioni in cui le prove non possono essere inviate a un servizio cloud. Confronto completo nell'articolo Confronto fra parser MFT.

Ottenere una $MFT da analizzare

$MFT è bloccata mentre Windows è in esecuzione. Per estrarne una copia, usa fsutil su un sistema vivo, FTK Imager su un disco fisico, o il target MFT di KAPE per una raccolta di triage completa. Passo per passo in come estrarre $MFT da un sistema Windows in esecuzione.

FAQ di forensica

Cos'è la Master File Table?
La Master File Table ($MFT) è l'indice di metadati di NTFS. Ogni file e cartella del volume ha almeno un record da 1.024 byte in $MFT che ne descrive il nome, gli attributi, i timestamp e la posizione dei dati sul disco.
Cosa significa MFT?
MFT significa Master File Table. Su disco si scrive $MFT — il segno dollaro è la convenzione NTFS per i file di metadati.
Quali attributi di file sono memorizzati nella Master File Table?
Ogni record contiene $STANDARD_INFORMATION (timestamp, flag DOS), $FILE_NAME (nome e un secondo set di timestamp) e $DATA (il contenuto del file o i suoi cluster runs). I record possono anche contenere $ATTRIBUTE_LIST, $OBJECT_ID, $SECURITY_DESCRIPTOR, $INDEX_ROOT, $INDEX_ALLOCATION, $BITMAP, $REPARSE_POINT, $EA e $LOGGED_UTILITY_STREAM.
Come estraggo $MFT da un sistema Windows?
$MFT è il primo file di ogni volume NTFS ed è bloccato mentre Windows è in esecuzione. Usa uno strumento forense come FTK Imager, KAPE o il comando Windows «fsutil» per esportarne una copia da un sistema attivo, oppure leggilo direttamente da un'immagine disco.
Come riparo una Master File Table corrotta?
Imager il disco prima di tutto. Poi esegui chkdsk /f sull'immagine (veloce, può scartare record illeggibili) oppure usa uno strumento di recupero che scansiona il volume grezzo cercando signature «FILE» e riassembla i record (lento, preserva più prove). Non eseguire mai chkdsk sull'originale prima dell'imaging.
Questo strumento carica il mio $MFT da qualche parte?
No. L'analisi avviene in un Web Worker tramite WebAssembly. Il file viene caricato nella memoria del browser e non viene mai trasmesso. Puoi disconnettere la rete per verificarlo.
Perché alcune voci risultano eliminate?
Ogni record MFT ha un flag «in uso». Quando un file viene eliminato, il flag viene cancellato ma il record rimane in $MFT finché non viene riutilizzato. Queste voci eliminate conservano spesso nomi recuperabili, timestamp e talvolta dati residenti.
Riesce a gestire file $MFT molto grandi?
L'analisi gira in un thread Web Worker dedicato. La memoria cresce linearmente con la dimensione del file. File $MFT da diversi gigabyte funzionano nei browser moderni, ma la lettura iniziale in memoria richiede un istante.