Digital Forensics:When a partition was created/Modify (Master File Table)

Digital Forensics:When a partition was created/Modify (Master File Table)

 วันนี้มาดูวิธีตรวจสอบ เวลาที่พาร์ติชั่นถูกสร้างขึ้นและวันเวลาที่ติดตั้ง windows

MFT หรือ Master File Table เป็นไฟล์ในระบบไฟล์แบบ NTFS โดยจะรวบรวมข้อมูลของไฟล์ รายละเอียดของไฟล์และไดเร็กทอรี่ทั้งหมด ในไดร์ฟนั้นๆ

ตัวอย่างที่ 1 $MFT  Master File Table   Date Create 26-3-2012

ตัวอย่างที่ 1 Windows XP 

$MFT  Master File Table   Date Create 26-3-2012

                                          Date Modify 26-3-2012

                                          Date Access 26-3-2012

โดยปกติไฟล์ $MFT จะถูกสร้างขึ้นโดยอัตโนมัติเมื่อมีการฟอร์แมตหรือเปลี่ยนพาร์ติชันของดิสก์เป็น NTFS โดยวันที่และเวลาที่ไฟล์ $MFT ถูกสร้างขึ้น (หรือวันที่และเวลาที่ดิสก์ถูกฟอร์แมต) จะถูกระบุอยู่ในคุณลักษณะของไฟล์ $MFT ที่หัวข้อ Date created ซึ่งในกรณีโดยส่วนใหญ่ที่ดิสก์ดังกล่าวถูกติดตั้งระบบปฏิบัติการ ไฟล์ของระบบปฏิบัติการจะมีวันที่และเวลาที่ถูกสร้างใกล้เคียงหรือสอดคล้องกับค่า Date created ใน $MFT ตามรูปภาพ ตัวอย่างที่ 1

Original Install Date:

Windows Original Install Date: 26-3-2012

ตัวอย่างที่ 2 Windows Original Install Date: 24-9-2019    

ตัวอย่างที่ 2  Windows 7 Professional 

$MFT  Master File Table   Date Create: 24-9-2019

           Windows Original Install Date:     24-9-2019                         

จุดสังเกต
 1 .  $MFT  Master File Table   (MAC TIme)
 2.  Systeminfo (Original Install Date)
 3.  Volume Serial Number  ของ Partition

อ่านเพิ่มเต้ิม

How to export Master File Table to csv

http://www.cse.scu.edu/~tschwarz/coen252_07Fall/Lectures/NTFS.html
how-to-extract-data-and-timeline-from-master-file-table-on-ntfs-filesystem/

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud