Note di forensica
Brevi note sugli interni di NTFS, sulla struttura del MFT e sui flussi di lavoro della forensica digitale.
Provare che un file è esistito quando non è più su disco
Quando dir torna vuoto, $MFT spesso risponde ancora. Guida pratica per dimostrare l'esistenza precedente di un file dai metadati NTFS, con i caveat che reggono in revisione.
$UsnJrnl e $MFT: journal e tabella dei file
Il $MFT ti dice lo stato attuale di ogni file di un volume NTFS. Il $UsnJrnl ti dice come ciascuno ci è arrivato — insieme ricostruiscono la timeline.
Master File Table (MFT): la $MFT di NTFS spiegata
Cos'è la Master File Table di NTFS, com'è strutturato un record, quali attributi contiene, cosa significano i file di sistema all'inizio e cosa fare quando $MFT è corrotta.
Come appare il ransomware in $MFT
Cambi di estensione di massa, scritture a raffica, originali eliminati e i pattern che emergono nella Master File Table durante un giro di cifratura. Visione pratica sul triage.
Parser MFT che reggono davvero: MFTECmd, omerbenamram/mft e parsing nel browser
Tre seri parser MFT confrontati da qualcuno che li usa tutti e tre. Quando ricorrere a MFTECmd, quando scriptare con omerbenamram/mft e quando il parser nel browser è la risposta giusta.
Recuperare file eliminati da NTFS usando la MFT
Workflow pratico di recupero su NTFS: quando i file eliminati sono recuperabili, gli strumenti a cui ricorrere, i casi in cui i dati sono davvero persi e il trucco dei dati residenti.
Costruire una timeline da $MFT che regga la revisione
Approccio pratico al timelining basato su MFT: quali timestamp emettere, come fonderli con USN e log eventi, e dove le super-timeline ingenue traggono in inganno.
Parsare $MFT da Python senza perderci il weekend
Tre approcci che funzionano per parsare NTFS $MFT in Python: analyzeMFT per puro Python, libmft per un modello a oggetti tipato, o richiamare un parser Rust quando la velocità conta.
Alternate Data Streams: il secondo attributo $DATA che tutti dimenticano
Gli attributi $DATA con nome viaggiano accanto al file che puoi vedere. Una visione pratica di dove si nascondono gli ADS, a cosa li usa Windows e perché un triage della MFT li trova mentre l'enumerazione per file no.
Cosa fa davvero $MFTMirr e quando NTFS lo usa
$MFTMirr replica i primi record di $MFT in modo che il volume possa essere montato quando l'header della tabella principale è illeggibile. Dove vive, cosa contiene e i casi in cui ripaga lo sforzo.
Estrarre $MFT da un host Windows vivo senza romperlo
Tre modi affidabili per ottenere una $MFT forensicamente solida da un sistema Windows in esecuzione, gli errori che corrompono silenziosamente la copia e cosa verificare prima di fidarsi del file.
Volume Shadow Copy e $MFT: versioni precedenti
Ogni snapshot VSS contiene una propria copia congelata di $MFT. Come estrarle, e cosa rivelano che la MFT attiva non può mostrare.
Perché NTFS dà alla forense molto più di quanto FAT abbia mai dato
FAT registra il prossimo cluster. NTFS registra tutto. Visione pratica di cosa il passaggio da FAT alla Master File Table ha davvero cambiato per il recupero delle prove.
Cosa sopravvive davvero quando un file viene eliminato su NTFS
L'eliminazione su NTFS azzera un bit e aggiorna una voce di indice. Il record, gli attributi e spesso i dati restano in attesa. Visione pratica di cosa è recuperabile e per quanto tempo.
Dati residenti: minuscoli file che vivono dentro la MFT
I file piccoli memorizzano il loro intero attributo $DATA dentro il record MFT. La soglia di dimensione, i casi in cui questo salva la tua indagine e i limiti del trucco.
Anti-forense NTFS: cosa fanno davvero gli attaccanti e cosa li tradisce
Timestomping, payload in ADS, eliminazione di USN, scarabocchi sulla MFT. Catalogo pratico dell'anti-forense NTFS con gli artefatti specifici che ogni tecnica non riesce a ripulire.
I quattro timestamp MFT e come il timestomping si manifesta in essi
Ogni record MFT porta due set di quattro timestamp. Perché divergono, come si presenta la divergenza sotto manomissione e l'indizio sotto il secondo che cattura gli strumenti pigri.
Dentro un record MFT, byte per byte
Una lettura ravvicinata di un record FILE da 1.024 byte: la firma, l'header, l'array di fixup, il flusso di attributi e i campi che contano quando leggi byte grezzi in un editor esadecimale.