← Torna al blog

Costruire una timeline forense partendo dal $MFT

· 2 min di lettura

Una timeline forense risponde a una sola domanda: cosa è successo su questa macchina, e in che ordine? Su NTFS, il $MFT è la singola fonte più densa per rispondere. Ogni file e cartella sul volume produce dai quattro agli otto eventi datati — e sono tutti in un unico file.

Cosa ti dà ogni record

Ogni voce MFT ha due attributi che portano timestamp:

  • $STANDARD_INFORMATION (SI) — creazione, modifica, accesso, modifica MFT
  • $FILE_NAME (FN) — creazione, modifica, accesso, modifica MFT

Ogni timestamp può diventare un proprio evento di timeline. Un singolo file produce fino a otto righe: «SI creazione», «FN creazione», «SI modifica» e così via. Percorrere l'intero MFT ed emettere una riga per timestamp restituisce, in una sola passata, una «supertimeline» di ogni evento di file che il volume ricorda.

Come darle forma

Il formato canonico è mactime — una riga per evento, ordinata per timestamp:

2026-05-15T10:23:01Z|FILE|allocated|/Users/alice/notes.txt|SI created
2026-05-15T10:23:01Z|FILE|allocated|/Users/alice/notes.txt|FN created
2026-05-15T10:24:18Z|FILE|allocated|/Users/alice/notes.txt|SI modified

Sei colonne — timestamp, tipo, stato, percorso, attributo, evento — e la timeline è pronta per grep e visualizzazione.

Incrocia le fonti per il contesto

Il $MFT da solo ti dice quando i file sono cambiati. Non ti dice perché. Affiancalo a:

  • $UsnJrnl per la sequenza delle operazioni del file system
  • $LogFile per il dettaglio a livello transazione nei secondi prima di un crash
  • file Prefetch (.pf) come prova di esecuzione di programmi
  • log di transazione del Registro per le modifiche di configurazione

Una timeline che fonde queste fonti spesso permette di ricostruire la sessione di un attaccante minuto per minuto, anche se singoli log sono stati cancellati.

Riconoscere subito le anomalie

Una volta ordinata la timeline, le anomalie saltano fuori:

  • una raffica di modifiche di file alle 3 del mattino seguita da cancellazioni — preparazione classica di un ransomware;
  • un file di sistema da tempo intatto con timestamp di modifica recente — possibile iniezione di persistenza;
  • centinaia di file con lo stesso secondo di creazione — impronta di installer o staging massivo.

L'MFT non interpreta nulla; mostra soltanto. L'interpretazione spetta all'analista.

Articoli correlati

Risorse esterne