← Voltar ao blog

Construindo uma linha do tempo forense a partir do $MFT

· 2 min de leitura

Uma linha do tempo forense responde a uma única pergunta: o que aconteceu nesta máquina, e em que ordem? No NTFS, o $MFT é a fonte única mais densa para responder. Cada arquivo e pasta do volume produz de quatro a oito eventos com timestamp — e todos estão num único arquivo.

O que cada registro te dá

Cada entrada do MFT possui dois atributos que carregam timestamps:

  • $STANDARD_INFORMATION (SI) — criação, modificação, acesso, modificação MFT
  • $FILE_NAME (FN) — criação, modificação, acesso, modificação MFT

Cada timestamp pode virar um evento próprio na linha do tempo. Um único arquivo produz até oito linhas: «SI criado», «FN criado», «SI modificado» e assim por diante. Percorrer todo o MFT e emitir uma linha por timestamp gera, em uma única passagem, uma «supertimeline» de cada evento de arquivo que o volume se lembra.

Como dispor a saída

O formato canônico é mactime — uma linha por evento, ordenada por timestamp:

2026-05-15T10:23:01Z|FILE|allocated|/Users/alice/notes.txt|SI created
2026-05-15T10:23:01Z|FILE|allocated|/Users/alice/notes.txt|FN created
2026-05-15T10:24:18Z|FILE|allocated|/Users/alice/notes.txt|SI modified

Seis colunas — timestamp, tipo, estado, caminho, atributo, evento — e a linha do tempo está pronta para grep e visualização.

Cruzar fontes para entender o contexto

O $MFT sozinho te diz quando os arquivos mudaram. Não diz por quê. Combine-o com:

  • $UsnJrnl para a sequência das operações do sistema de arquivos
  • $LogFile para o detalhe em nível de transação nos segundos antes de um crash
  • arquivos Prefetch (.pf) como evidência de execução de programas
  • logs de transação do Registro para mudanças de configuração

Uma linha do tempo que funde essas fontes muitas vezes permite reconstruir a sessão de um atacante minuto a minuto, mesmo que algum log tenha sido apagado.

Identificar anomalias rapidamente

Uma vez ordenada a linha do tempo, as anomalias saltam aos olhos:

  • uma rajada de modificações às 3 da manhã seguida de exclusões — preparação clássica de ransomware;
  • um arquivo de sistema há muito intacto com timestamp de modificação recente — possível injeção de persistência;
  • centenas de arquivos com o mesmo segundo de criação — pegada de instalador ou staging em massa.

O MFT não interpreta nada disso; apenas mostra. A interpretação é trabalho do analista.

Artigos relacionados

Recursos externos