← Torna al blog

Come estrarre $MFT da un sistema Windows in esecuzione

· 2 min di lettura

$MFT si trova all'inizio di ogni volume NTFS, ma Windows mantiene un lock esclusivo su di esso finché il volume è montato. Non puoi copiarlo con un semplice xcopy. Serve uno strumento che legga il volume grezzo aggirando il lock del file system. Tre opzioni affidabili.

fsutil (integrato)

Windows fornisce un comando per localizzare $MFT sul disco:

fsutil file queryextents C:\$Mft > mft-extents.txt

Ottieni i cluster run occupati da $MFT. Una lettura grezza di quei cluster riproduce il file. Funziona su qualsiasi installazione Windows moderna, richiede i privilegi di amministratore e non produce effetti collaterali sul target.

Il rovescio: i run devi comunque assemblarli tu. Per la maggior parte degli investigatori è un mattone, non una risposta finale.

FTK Imager

FTK Imager è lo strumento gratuito di riferimento per l'acquisizione forense. Per ottenere $MFT:

  1. File → Add Evidence Item → Physical Drive
  2. Selezionare il disco
  3. Navigare nell'albero fino alla radice del volume NTFS e trovare $MFT
  4. Tasto destro → Export Files

Ottieni una copia di $MFT come file normale che puoi portarti dietro. FTK Imager legge anche immagini disco (.dd, .E01), quindi lo stesso flusso funziona su prove offline.

KAPE

Per raccolte più ampie, KAPE (Kroll Artifact Parser and Extractor) automatizza l'intera lista di artefatti. La libreria KAPETargets include un target MFT che porta a casa $MFT, $LogFile, $UsnJrnl e altri artefatti di supporto in un'unica passata:

kape.exe --tsource C: --target MFT --tdest C:\triage

KAPE gestisce sotto il cofano il problema del file bloccato, conserva i timestamp dei file raccolti e scrive una cartella ordinata da portare in analisi. È la strada raccomandata per qualsiasi raccolta di incident response.

Leggere da un'immagine disco

Se hai già un'immagine disco, salti del tutto il problema del lock. Monta l'immagine in sola lettura oppure usa un parser che consuma immagini grezze direttamente. $MFT vive vicino all'inizio di ogni volume NTFS — il boot sector all'offset 0 lo indica.

Una nota sull'integrità

Qualunque sia la strada scelta, calcola l'hash (SHA-256) di $MFT subito dopo l'acquisizione e ancora prima dell'analisi. Il file è grande e a volte gli strumenti tagliano. Un confronto di hash a monte fa risparmiare ore di debug sulla prova sbagliata.

Articoli correlati

Risorse esterne