Note di forensica
Brevi note sugli interni di NTFS, sulla struttura del MFT e sui flussi di lavoro della forensica digitale.
Dimostrare che un file è esistito su un sistema Windows
Quando un file non è più sul disco, il $MFT può ancora dimostrare che c'era — e spesso anche cosa conteneva e quando è stato toccato l'ultima volta.
$UsnJrnl e $MFT: journal e tabella dei file
Il $MFT ti dice lo stato attuale di ogni file di un volume NTFS. Il $UsnJrnl ti dice come ciascuno ci è arrivato — insieme ricostruiscono la timeline.
Master File Table (MFT): la $MFT NTFS spiegata
Cos'è la Master File Table NTFS, come è strutturato un record, quali attributi contiene, e cosa fare quando $MFT è corrotta.
Come il $MFT smaschera un attacco ransomware
Il ransomware lascia un'impronta distintiva nel $MFT: cambi di estensione in massa, scritture a raffica, originali orfani ed eliminazione di shadow copy.
Parser MFT: MFTECmd, omerbenamram/mft e nel browser
Tre parser MFT seri, cosa fa bene ciascuno e quando scegliere quale: MFTECmd, omerbenamram/mft, e uno strumento WebAssembly lato browser.
Recuperare file eliminati su NTFS tramite la MFT
Passo per passo: come funziona il recupero di file eliminati su NTFS, quali strumenti usare e quando i dati sono davvero persi.
Costruire una timeline forense partendo dal $MFT
Ogni record MFT porta otto timestamp che ricostruiscono l'attività di un volume Windows ora per ora, e abbinati a $UsnJrnl producono una supertimeline.
Come analizzare $MFT in Python
Tre approcci collaudati per analizzare una $MFT NTFS in Python: analyzeMFT, libmft e l'invocazione di un parser Rust veloce.
Alternate Data Streams: attributi $DATA nascosti su NTFS
Ogni file NTFS può portare con sé più attributi $DATA. Ciascuno è un flusso separato, invisibile alla maggior parte dei listing di file.
Cos'è $MFTMirr e quando NTFS lo usa?
$MFTMirr è il backup dei primi record MFT che consente a NTFS di recuperare da una corruzione dell'area di boot. Cosa contiene e come chkdsk lo usa.
Come estrarre $MFT da un sistema Windows in esecuzione
$MFT è bloccato mentre Windows è attivo. Tre modi affidabili per ottenere una copia forense pulita: fsutil reserve, FTK Imager e i target di KAPE.
Volume Shadow Copy e $MFT: versioni precedenti
Ogni snapshot VSS contiene una propria copia congelata di $MFT. Come estrarle, e cosa rivelano che la MFT attiva non può mostrare.
MFT di NTFS vs FAT: cosa cambia in forensica
Come NTFS ha sostituito la tabella di allocazione FAT con la Master File Table, e cosa significa per il recupero delle prove.
Cosa sopravvive quando elimini un file su NTFS
Eliminare un file su NTFS raramente lo cancella. Il record MFT, $STANDARD_INFORMATION, $FILE_NAME e spesso $DATA restano in attesa di essere riutilizzati.
Dati residenti: piccoli file che vivono dentro l'MFT
I file piccoli hanno l'intero attributo $DATA memorizzato direttamente nel record MFT. In forensica, questo significa recupero senza toccare il disco.
Anti-forensica NTFS: tattiche degli attaccanti
Timestomping, flussi di dati alternativi, wiping e manipolazione dell'USN journal: tecniche anti-forensiche comuni su NTFS e gli artefatti che lasciano.
I quattro timestamp dell'MFT e l'impronta del timestomping
Ogni record MFT porta due insiemi di quattro timestamp. Capire perché divergono è la base dell'analisi temporale NTFS e del rilevamento del timestomping.
Anatomia di un record MFT: signature, header e attributi
Visita byte per byte di un record $MFT NTFS — la signature FILE, l'header del record, il fixup array e il flusso di attributi.