Digital Forensics:How to export Master File Table to csv
MFT หรือ Master File Table คือ
ในระบบจัดการไฟล์แบบ NTFS นั้น Master File Table (MFT) นั้นเปรียบเสมือนหัวใจหลัก เพราะเป็นส่วนที่ใช้เก็บข้อมูล รายละเอียดของไฟล์และไดเร็กทอรี่ทั้งหมด ภายใน MFT จะเก็บข้อมูล เป็น Entry หรือที่เรียกว่า MFT EntryMFT Entry จะประกอบไปด้วยหลาย Attribute โดยมี Attribute ที่มีข้อมูล ของไฟล์คือ STANDARD_INFORMATION (0x10 (16)) เก็บข้อมูล รายละเอียดมาตรฐานของ MFT Entry, FILENAME (0x30 (48)) เก็บ ข้อมูลรายละเอียดของไฟล์, DATA (0x80 (128)) เก็บข้อมูลตำแหน่งของ เนื้อไฟล์ข้อมูลที่อยู่บนฮาร์ดดิส์ก
 |
| MFT Entry |
เป็นไฟล์ในระบบไฟล์แบบ NTFS โดยจะรวบรวมข้อมูลของไฟล์ทั้งหมดในไดร์ฟนั้นๆ การตรวจสอบไฟล์ $MFT จึงมีประโยชน์อย่างมากในช่วยค้นหาไฟล์ที่ถูกลบเพื่อทำการกู้คืนและการใช้วิเคราะห์ในฐานะของหลักฐานดิจิทัลรูปแบบหนึ่ง
 |
| MFT Entry 1,024 Bytes |
โดยปกติไฟล์ $MFT จะถูกสร้างขึ้นโดยอัตโนมัติเมื่อมีการฟอร์แมตหรือConvert พาร์ติชันของดิสก์เป็น NTFS โดยวันที่และเวลาที่ไฟล์ $MFT ถูกสร้างขึ้น (หรือวันที่และเวลาที่ดิสก์ถูกฟอร์แมต) จะถูกระบุอยู่ในคุณลักษณะของไฟล์ $MFT ที่หัวข้อ Date created ซึ่งในกรณีโดยส่วนใหญ่ที่ดิสก์ดังกล่าวถูกติดตั้งระบบปฏิบัติการ ไฟล์ของระบบปฏิบัติการจะมีวันที่และเวลาที่ถูกสร้างใกล้เคียงหรือสอดคล้องกับค่า Date created ใน $MFT
แนะนำเครื่องมือสำหรับวิเคราะห์ Master File Table (MFT analysis free Tools)
1. FTK Imager
2. MFT Explorer
3. MFTECmd
4. Mft2csv
5. Timeline Explorer
Step 1 Export $MFT ใช้โปรแกรม FTK Imager Export file $MFT
 |
| FTK Imager export File $MFT |
 |
| FTK Imager สำหรับ export File $MFT |
Step 2 $MFT Export to csv
Step 3 Preview $MFT ใช้ โปรแกรม MFT Explorer เปิด file $MFT
 |
| MFT Explorer |
Step 4 Export $MFT to CSV
- Choose $MFT
- Set Outout Path
- Start Processing
 |
| Mft2csv Export csv |
 |
| MFTECmd.exe -f "F:\$MFT" --csv "c:\temp" |
Examples:
MFTECmd.exe -f "C:\Temp\SomeMFT" --csv "c:\temp\out" --csvf MyOutputFile.csv
MFTECmd.exe -f "C:\Temp\SomeMFT" --csv "c:\temp\out"
MFTECmd.exe -f "C:\Temp\SomeMFT" --json "c:\temp\jsonout"
MFTECmd.exe -f "C:\Temp\SomeMFT" --body "c:\temp\bout" --bdl c
MFTECmd.exe -f "C:\Temp\SomeMFT" --de 5-5
 |
| MFTECmd option |
 |
| Csv file |
Step 5 Import csv to Timeline Explorer
ใช้ Timeline Explorer สามารถแสดงวันเวลา Timestamp โดยเปิดไฟล์จาก CSV ได้
เมื่อได้ csv file มาแล้วให้ใช้ Timeline Explorer import csv file เพื่อค้นหาไฟล์และดูวันเวลาที่สงสัย
 |
| Last Access |
 |
| Suspect File |
สรุป
เราสามารถใช้ Free Tools ช่วยในการวิเคราะห์ MFT หรือ Master File Table
Last Update 24-9-2019
Resident Data
Ref:https://www.andreafortuna.org/2017/07/18/how-to-extract-data-and-timeline-from-master-file-table-on-ntfs-filesystem/
https://github.com/jschicht
https://forensicswiki.org/wiki/Encase_image_file_format
https://www.andreafortuna.org/2017/07/18/how-to-extract-data-and-timeline-from-master-file-table-on-ntfs-filesystem/
https://binaryforay.blogspot.com/2018/06/introducing-mftecmd.html
https://whereismydata.wordpress.com/2009/06/05/forensics-what-is-the-mft/
https://ericzimmerman.github.io/#!index.md
https://dforensicexaminer.wordpress.com/2019/03/31/new-technologies-file-system-ntfs/
https://www.i-secure.co.th/2019/07/forensic-analysis-mft/
หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น
* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ
#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud
No comments:
Post a Comment