Monday, September 24, 2018

Digital Forensics:How to export Master File Table to csv

Digital Forensics:How to export Master File Table to csv


MFT หรือ Master File Table  คือ

ในระบบจัดการไฟล์แบบ NTFS  นั้น Master File Table (MFT) นั้นเปรียบเสมือนหัวใจหลัก เพราะเป็นส่วนที่ใช้เก็บข้อมูล รายละเอียดของไฟล์และไดเร็กทอรี่ทั้งหมด ภายใน MFT จะเก็บข้อมูล เป็น Entry หรือที่เรียกว่า MFT Entry

MFT Entry จะประกอบไปด้วยหลาย Attribute โดยมี Attribute ที่มีข้อมูล ของไฟล์คือ STANDARD_INFORMATION (0x10 (16)) เก็บข้อมูล รายละเอียดมาตรฐานของ MFT Entry, FILENAME (0x30 (48)) เก็บ ข้อมูลรายละเอียดของไฟล์, DATA (0x80 (128)) เก็บข้อมูลตำแหน่งของ เนื้อไฟล์ข้อมูลที่อยู่บนฮาร์ดดิส์ก
MFT Entry
MFT Entry จะมีขนาดทั้งหมดเท่ากับ 1,024 ไบต์ (Bytes)
เป็นไฟล์ในระบบไฟล์แบบ NTFS โดยจะรวบรวมข้อมูลของไฟล์ทั้งหมดในไดร์ฟนั้นๆ  การตรวจสอบไฟล์ $MFT จึงมีประโยชน์อย่างมากในช่วยค้นหาไฟล์ที่ถูกลบเพื่อทำการกู้คืนและการใช้วิเคราะห์ในฐานะของหลักฐานดิจิทัลรูปแบบหนึ่ง
MFT Entry  1,024  Bytes

โดยปกติไฟล์ $MFT จะถูกสร้างขึ้นโดยอัตโนมัติเมื่อมีการฟอร์แมตหรือConvert พาร์ติชันของดิสก์เป็น NTFS โดยวันที่และเวลาที่ไฟล์ $MFT ถูกสร้างขึ้น (หรือวันที่และเวลาที่ดิสก์ถูกฟอร์แมต) จะถูกระบุอยู่ในคุณลักษณะของไฟล์ $MFT ที่หัวข้อ Date created ซึ่งในกรณีโดยส่วนใหญ่ที่ดิสก์ดังกล่าวถูกติดตั้งระบบปฏิบัติการ ไฟล์ของระบบปฏิบัติการจะมีวันที่และเวลาที่ถูกสร้างใกล้เคียงหรือสอดคล้องกับค่า Date created ใน $MFT

แนะนำเครื่องมือสำหรับวิเคราะห์ Master File Table   (MFT analysis free Tools)
1. FTK Imager    
2. MFT Explorer 
3. MFTECmd
4. Mft2csv
5. Timeline Explorer 

Step 1 Export $MFT  ใช้โปรแกรม FTK Imager  Export file $MFT 

FTK Imager  export File $MFT
FTK Imager    สำหรับ export File $MFT

 Step 2   $MFT Export to csv


Step 3 Preview $MFT       ใช้ โปรแกรม MFT Explorer เปิด file  $MFT  

MFT Explorer


 Step 4 Export $MFT    to CSV


 Mft2csv Export csv > 
    - Choose $MFT
    - Set Outout Path
    - Start Processing 
Mft2csv Export csv
OutPut Csv file
MFTECmd Export csv > 
 
 MFTECmd.exe -f "F:\$MFT" --csv "c:\temp"

Examples: 
          MFTECmd.exe -f "C:\Temp\SomeMFT" --csv "c:\temp\out" --csvf MyOutputFile.csv
          MFTECmd.exe -f "C:\Temp\SomeMFT" --csv "c:\temp\out"
          MFTECmd.exe -f "C:\Temp\SomeMFT" --json "c:\temp\jsonout"
          MFTECmd.exe -f "C:\Temp\SomeMFT" --body "c:\temp\bout" --bdl c
          MFTECmd.exe -f "C:\Temp\SomeMFT" --de 5-5

MFTECmd option

Csv file

Step 5   Import csv to Timeline Explorer 


ใช้ Timeline Explorer สามารถแสดงวันเวลา Timestamp โดยเปิดไฟล์จาก CSV ได้

    เมื่อได้ csv file มาแล้วให้ใช้ Timeline Explorer  import csv file เพื่อค้นหาไฟล์และดูวันเวลาที่สงสัย 
Last Access
Suspect File


สรุป 
 เราสามารถใช้ Free Tools ช่วยในการวิเคราะห์ MFT หรือ Master File Table  


Last Update 24-9-2019

Resident Data

Ref:

https://www.andreafortuna.org/2017/07/18/how-to-extract-data-and-timeline-from-master-file-table-on-ntfs-filesystem/
https://github.com/jschicht
https://forensicswiki.org/wiki/Encase_image_file_format
https://www.andreafortuna.org/2017/07/18/how-to-extract-data-and-timeline-from-master-file-table-on-ntfs-filesystem/
https://binaryforay.blogspot.com/2018/06/introducing-mftecmd.html
https://whereismydata.wordpress.com/2009/06/05/forensics-what-is-the-mft/
https://ericzimmerman.github.io/#!index.md
https://dforensicexaminer.wordpress.com/2019/03/31/new-technologies-file-system-ntfs/
https://www.i-secure.co.th/2019/07/forensic-analysis-mft/

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ


#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud


No comments:

Post a Comment

Digital Forensics:CDIC2024

Digital Forensics:CDIC2024    งานสัมมนาประจำปีด้านความมั่นคงปลอดภัยไซเบอร์  27-28 พฤศจิกายน 2567 ณ Grand Hall ไบเทค บางนา วันนี้แอดแวะมางาน ...