Notas forenses
Notas curtas sobre internos do NTFS, estrutura do MFT e fluxos de trabalho de forense digital.
Provar que um ficheiro existiu quando já não está no disco
Quando o dir devolve vazio, o $MFT muitas vezes ainda responde. Guia prático para demonstrar a existência prévia de um ficheiro a partir dos metadados NTFS, com as ressalvas que se aguentam na revisão.
Emparelhar $UsnJrnl com $MFT para uma timeline a sério
O $MFT é um snapshot. O $UsnJrnl é a sequência de alterações que o produziu. Uma visão prática sobre emparelhá-los, o que significam os reason codes, e onde o journal mente.
Master File Table (MFT): o $MFT do NTFS explicado
O que é a Master File Table do NTFS, como está disposto um registo, que atributos transporta, o que significam os ficheiros de sistema no início, e o que fazer quando o $MFT está corrompido.
O aspecto do ransomware no $MFT
Alterações em massa de extensão, escritas em rajada, originais eliminados, e os padrões que aparecem na Master File Table durante uma execução de encriptação. Uma visão prática sobre triagem.
Parsers de MFT que se aguentam de facto: MFTECmd, omerbenamram/mft, e parsing no browser
Três parsers de MFT sérios comparados por alguém que usa os três. Quando recorrer ao MFTECmd, quando programar com o omerbenamram/mft, e quando o parser de browser é a resposta certa.
Recuperar ficheiros eliminados do NTFS usando o MFT
Um fluxo de trabalho prático de recuperação em NTFS: quando os ficheiros eliminados são recuperáveis, as ferramentas a usar, os casos em que os dados se foram genuinamente, e o truque dos dados residentes.
Construir uma timeline a partir do $MFT que sobreviva à revisão
Uma abordagem prática à timeline baseada no MFT: que carimbos temporais emitir, como fundir com USN e logs de eventos, e onde as supertimelines ingénuas enganam.
Analisar $MFT em Python sem perder o fim-de-semana
Três abordagens que funcionam para analisar o $MFT do NTFS em Python: analyzeMFT para Python puro, libmft para um modelo de objectos tipado, ou shell-out para um parser Rust quando a velocidade conta.
Alternate Data Streams: o segundo atributo $DATA que toda a gente esquece
Os atributos $DATA com nome acompanham o ficheiro que se vê. Uma visão prática de onde se escondem os ADS, para que os usa o Windows, e porque é que a triagem ao MFT os encontra quando a enumeração ficheiro a ficheiro falha.
O que o $MFTMirr realmente faz e quando o NTFS o usa
O $MFTMirr espelha os primeiros registos do $MFT para que o volume possa montar quando o cabeçalho da tabela principal está ilegível. Onde vive, o que contém, e os casos em que demonstra o seu valor.
Extrair o $MFT de um host Windows vivo sem o partir
Três formas fiáveis de obter um $MFT forensicamente sólido a partir de um sistema Windows em execução, os erros que silenciosamente corrompem a cópia, e o que verificar antes de confiar no ficheiro.
Volume Shadow Copy e $MFT: cada snapshot é um MFT congelado
Cada snapshot VSS contém um $MFT completo ponto-no-tempo. Como enumerar, montar, extrair e diferenciar, mais os casos em que os snapshots salvam investigações.
Porque o NTFS dá tanto mais à forense do que o FAT alguma vez deu
O FAT regista o próximo cluster. O NTFS regista tudo. Uma visão prática do que a passagem de FAT para a Master File Table mudou de facto na recuperação de evidência.
O que sobrevive de facto quando se elimina um ficheiro em NTFS
Eliminar em NTFS limpa um bit e actualiza uma entrada de índice. O registo, os atributos e frequentemente os dados ficam à espera. Uma visão prática sobre o que é recuperável e por quanto tempo.
Dados residentes: ficheiros minúsculos que vivem dentro do MFT
Os ficheiros pequenos guardam o seu atributo $DATA inteiro dentro do registo MFT. O limite de tamanho, os casos em que isto salva a sua investigação, e os limites do truque.
Anti-forense em NTFS: o que os atacantes fazem de facto e o que os entrega
Timestomping, payloads em ADS, eliminação de USN, garatujas no MFT. Um catálogo prático de anti-forense em NTFS com os artefactos específicos que cada técnica não consegue apagar.
Os quatro carimbos temporais do MFT e como o timestomping se mostra neles
Cada registo do MFT transporta dois conjuntos de quatro carimbos temporais. Porque divergem, como é a divergência sob adulteração, e a pista abaixo do segundo que apanha ferramentas preguiçosas.
Dentro de um registo MFT, byte a byte
Uma leitura próxima de um registo FILE de 1.024 bytes: a assinatura, o cabeçalho, o fixup array, o fluxo de atributos, e os campos que importam quando se lêem bytes brutos num editor hexadecimal.