フォレンジック タイムラインが答えるのは、たった 1 つの問いです — このマシンで何が、どんな順番で起きたのか? NTFS では、その答えのためのもっとも密度の高い単一ソースが $MFT です。ボリューム上のあらゆるファイル・ディレクトリが 4〜8 個のタイムスタンプ付きイベントを生み出し、それらはすべて 1 つのファイルに収まっています。
各レコードから得られるもの
すべての MFT エントリには、タイムスタンプを持つ属性が 2 つあります。
$STANDARD_INFORMATION(SI) — 作成、更新、アクセス、MFT 更新$FILE_NAME(FN) — 作成、更新、アクセス、MFT 更新
各タイムスタンプは、それぞれ独立したタイムライン イベントになります。1 つのファイルで最大 8 行 — 「SI 作成」「FN 作成」「SI 更新」など。MFT 全体を走査し、タイムスタンプごとに 1 行を出力すれば、1 度のパスでボリュームが記憶しているあらゆるファイル イベントの「スーパー タイムライン」が得られます。
レイアウト
定番フォーマットは mactime です。タイムスタンプでソートされた、1 行 1 イベントの形式です。
2026-05-15T10:23:01Z|FILE|allocated|/Users/alice/notes.txt|SI created
2026-05-15T10:23:01Z|FILE|allocated|/Users/alice/notes.txt|FN created
2026-05-15T10:24:18Z|FILE|allocated|/Users/alice/notes.txt|SI modified
6 列 — タイムスタンプ、種別、状態、パス、属性、イベント — これで grep や可視化にすぐ載せられます。
文脈を得るためのクロス リファレンス
$MFT 単体は いつ 変化したかを語りますが、なぜ は語りません。次と組み合わせましょう。
$UsnJrnl— ファイル システム操作の順序$LogFile— クラッシュ直前の数秒間のトランザクション レベルの詳細- Prefetch(
.pf)ファイル — プログラム実行の痕跡 - レジストリ トランザクション ログ — 構成変更
これらを統合したタイムラインは、個別のログが消されていても、攻撃者のセッションを分単位で再構築できることがよくあります。
異常を素早く見つける
並べ替えたタイムラインからは、異常が浮かび上がります。
- 深夜 3 時のファイル更新の連射のあとに削除 — ランサムウェアの定番準備工程
- 長く触られていないシステム ファイルに新しい更新タイムスタンプ — 永続化注入の可能性
- 数百のファイルが同じ秒に作成 — インストーラーの足跡や一斉ステージング
MFT は解釈しません。見せるだけです。解釈はアナリストの仕事です。