Notas forenses
Notas curtas sobre internos do NTFS, estrutura do MFT e fluxos de trabalho de forense digital.
Provar que um arquivo existiu em um sistema Windows
Quando um arquivo não está mais no disco, o $MFT ainda pode demonstrar que esteve lá — e, muitas vezes, o que continha e quando foi tocado por último.
$UsnJrnl e $MFT: journal e tabela de arquivos
O $MFT te diz o estado atual de cada arquivo de um volume NTFS. O $UsnJrnl te diz como cada um chegou lá — juntos reconstroem a timeline forense.
Master File Table (MFT): a $MFT do NTFS explicada
O que é a Master File Table do NTFS, como um registro é estruturado, quais atributos armazena e o que fazer quando o $MFT está corrompido.
Como o $MFT denuncia um ataque de ransomware
Ransomware deixa uma pegada característica no $MFT: trocas de extensão em massa, escritas em rajada, originais órfãos e remoção de shadow copies.
Parsers MFT: MFTECmd, omerbenamram/mft e navegador
Três parsers MFT sérios, o que cada um faz bem e quando usar qual: MFTECmd, omerbenamram/mft e uma ferramenta WebAssembly no navegador.
Como recuperar arquivos excluídos no NTFS usando a MFT
Passo a passo: como funciona a recuperação de arquivos excluídos no NTFS, quais ferramentas usar e quando os dados realmente se foram.
Construindo uma linha do tempo forense a partir do $MFT
Cada registro do MFT carrega os oito timestamps necessários para reconstruir a atividade de um volume Windows, hora a hora.
Como analisar a $MFT em Python
Três abordagens funcionais para analisar a $MFT do NTFS em Python: analyzeMFT, libmft e chamar um parser Rust rápido externamente.
Alternate Data Streams: atributos $DATA ocultos no NTFS
Qualquer arquivo NTFS pode carregar múltiplos atributos $DATA. Cada um é um fluxo separado, invisível para a maioria das listagens de arquivos.
O que é $MFTMirr e quando o NTFS o usa?
$MFTMirr é o backup dos primeiros registros MFT que permite ao NTFS recuperar-se de corrupção na área de boot. O que contém, onde fica e como o chkdsk o usa.
Como extrair $MFT de um sistema Windows em execução
$MFT fica bloqueado enquanto o Windows está em execução. Três formas confiáveis de obter uma cópia: fsutil, FTK Imager e KAPE.
Volume Shadow Copy e $MFT: versões antigas
Cada snapshot VSS contém sua própria cópia congelada da $MFT. Como extraí-las e o que revelam que a MFT viva não consegue mostrar.
MFT do NTFS vs FAT: o que mudou na perícia
Como o NTFS substituiu a tabela de alocação FAT pela Master File Table, e o que isso significa para a recuperação de evidências.
O que sobrevive quando você exclui um arquivo no NTFS
Excluir um arquivo no NTFS raramente o apaga. O registro MFT, $STANDARD_INFORMATION, $FILE_NAME e frequentemente $DATA ficam esperando para serem reutilizados.
Dados residentes: pequenos arquivos que vivem dentro do MFT
Arquivos pequenos guardam todo o atributo $DATA diretamente no registro MFT. Em perícia, isso permite recuperação sem tocar no disco.
Anti-forense NTFS: o que atacantes fazem na MFT
Timestomping, fluxos de dados alternativos, wiping, manipulação do USN journal — as técnicas anti-forenses comuns no NTFS e os artefatos que cada uma deixa.
Os quatro timestamps do MFT e a assinatura do timestomping
Cada registro MFT carrega dois conjuntos de quatro timestamps. Entender por que divergem é a base da análise temporal em NTFS.
Dentro de um registro MFT: cabeçalho e atributos
Um passeio byte a byte por um registro $MFT do NTFS — a assinatura FILE, o cabeçalho do registro, o fixup array e o fluxo de atributos.