MFT(Master File Table)の解析 (MFTDump)

  • NTFSでは、MFT(Master File Table)でファイルを管理している。
  • 以下のツールを使用することにより、ファイルシステム上に存在するファイル情報を確認することが可能。

MFT

  • NTFSでフォーマットされたボリュームの「$MFT」というファイル。
    • 通常のExplorer等では表示されない。
  • MTFレコードは 1024 バイト。
  • エントリの先頭は以下のとおり。
    • FILE ・・・ 通常
    • BAAD ・・・ エラーがある場合
  • 非常に小さいサイズのファイルは、MFTレコード内の余った部分に保存される。

MFTDump

Usage

-------------------------------------------------------------
--              MFTDump - $MFT Dump Tool                   --
--                  Version: V.3.1.0                       --
--     Member of the Malware-Hunters Forensic Toolkit      --
--             Written by Michael G. Spohn                 --
--            http://www.malware-hunters.net               --
-------------------------------------------------------------
--           Use this tool at your own risk                --
--                    NO WARRANTY!                         --
-------------------------------------------------------------

Usage: mftdump [/a] [/d] [/f] [/h] [/l] [/m <str>] [/o <str>] [/s] [/v] [/V] [/z] [$MFT File]
  /a, --ADS             Dump ADS's to stdout
  /d, --debug           Create debug log
  /f, --filenames       Dump filenames to stdout
  /h, --help            Display this notice
  /l, --long            Use long output format
  /m, --hostname=<str>  Hostname (Default: localhost)
  /o, --output=<str>    Output file (Default: mftdump_hostname.txt)
  /s, --short           Use short output format
  /v, --verbose         Chatty output
  /V, --version         Show version and exit
  /z, --zip             Zip output file
forensics/mft.txt · 最終更新: 2013/08/22 06:26 by kikuzou
 
特に明示されていない限り、本Wikiの内容は次のライセンスに従います: CC Attribution-Share Alike 4.0 International
Recent changes RSS feed Donate Powered by PHP Valid XHTML 1.0 Valid CSS Driven by DokuWiki