MFT(Master File Table)の解析 (MFTDump)

• NTFSでは、MFT(Master File Table)でファイルを管理している。
• 以下のツールを使用することにより、ファイルシステム上に存在するファイル情報を確認することが可能。

• NTFSでフォーマットされたボリュームの「$MFT」というファイル。
  • 通常のExplorer等では表示されない。
• MTFレコードは 1024 バイト。
• エントリの先頭は以下のとおり。
  • FILE ･･･ 通常
  • BAAD ･･･ エラーがある場合
• 非常に小さいサイズのファイルは、MFTレコード内の余った部分に保存される。

• MFTの解析内容をCSV形式で保存するコマンドラインツール
  • The Malware Hunters: Downloads - MFTDump

-------------------------------------------------------------
--              MFTDump - $MFT Dump Tool                   --
--                  Version: V.3.1.0                       --
--     Member of the Malware-Hunters Forensic Toolkit      --
--             Written by Michael G. Spohn                 --
--            http://www.malware-hunters.net               --
-------------------------------------------------------------
--           Use this tool at your own risk                --
--                    NO WARRANTY!                         --
-------------------------------------------------------------

Usage: mftdump [/a] [/d] [/f] [/h] [/l] [/m <str>] [/o <str>] [/s] [/v] [/V] [/z] [$MFT File]
  /a, --ADS             Dump ADS's to stdout
  /d, --debug           Create debug log
  /f, --filenames       Dump filenames to stdout
  /h, --help            Display this notice
  /l, --long            Use long output format
  /m, --hostname=<str>  Hostname (Default: localhost)
  /o, --output=<str>    Output file (Default: mftdump_hostname.txt)
  /s, --short           Use short output format
  /v, --verbose         Chatty output
  /V, --version         Show version and exit
  /z, --zip             Zip output file