← Voltar ao blog

Como extrair $MFT de um sistema Windows em execução

· 2 min de leitura

$MFT fica no início de todo volume NTFS, mas o Windows mantém um bloqueio exclusivo sobre ele enquanto o volume estiver montado. Você não consegue copiá-lo com um simples xcopy. É preciso uma ferramenta que leia o volume bruto, contornando o bloqueio do sistema de arquivos. Três opções confiáveis.

fsutil (integrado)

O Windows traz um comando para localizar $MFT no disco:

fsutil file queryextents C:\$Mft > mft-extents.txt

Você obtém os cluster runs ocupados pelo $MFT. Uma leitura bruta desses clusters reproduz o arquivo. Funciona em qualquer Windows moderno, exige privilégios de administrador e não produz efeitos colaterais no alvo.

A desvantagem: você ainda precisa montar os runs manualmente. Para a maioria dos investigadores é um tijolo, não uma resposta final.

FTK Imager

O FTK Imager é a ferramenta gratuita padrão para aquisição forense. Para pegar $MFT:

  1. File → Add Evidence Item → Physical Drive
  2. Escolher o disco
  3. Navegar pela árvore até a raiz do volume NTFS e localizar $MFT
  4. Clique direito → Export Files

Isso gera uma cópia do $MFT como arquivo comum que você pode levar. O FTK Imager também lê imagens de disco (.dd, .E01), então o mesmo fluxo funciona sobre evidência offline.

KAPE

Para coletas mais amplas, o KAPE (Kroll Artifact Parser and Extractor) automatiza toda a lista de artefatos. A biblioteca KAPETargets inclui um target MFT que recolhe $MFT, $LogFile, $UsnJrnl e outros artefatos de apoio numa única passada:

kape.exe --tsource C: --target MFT --tdest C:\triage

O KAPE trata por baixo do capô o problema do arquivo bloqueado, preserva os timestamps dos arquivos coletados e escreve um diretório limpo para você levar à análise. É o caminho recomendado para qualquer coleta de resposta a incidentes.

Ler de uma imagem de disco

Se você já tem uma imagem de disco, o problema do bloqueio simplesmente não aparece. Monte a imagem em modo somente leitura ou use um parser que consuma imagens brutas diretamente. $MFT fica perto do início de todo volume NTFS — o setor de boot no offset 0 aponta para ele.

Uma nota sobre integridade

Qualquer que seja o caminho, calcule o hash (SHA-256) de $MFT logo após a aquisição e novamente antes da análise. O arquivo é grande e ferramentas eventualmente truncam. Uma comparação de hash antecipada poupa horas depurando a evidência errada.

Artigos relacionados

Recursos externos