e ae galera nesse tutorial vou ensinar a enumerar todos os arquivos e diretorios do sistema windows pelo mft (master file tables), no caso o mft é um arquivo especial do windows sendo ele a tabela de entrada de arquivos das partições do tipo ntfs, é o arquivo mft que diz para o sistema que determinado arquivo esta dentro de algum diretorio especifico ou se ele é um arquivo ou diretorio e qual cluster inicia esse arquivo a data da criação e modificação e o tamanho entre outras informações muito relevante para forense, vamos dizer que o mft sabe onde voce esconde seus videos secretos kkk, quando um arquivo é apagado seu registro no mft pode prevalecer mesmo que o arquivo ja tenha sido sobrescrito e se o arquivo estiver integro basta mudar um byte certo no mft que o arquivo volta dos mortos ja que é o mft que diz para o sistema se o arquivo esta ou nao apagado, o arquivo mft é um arquivo não acessivel e ele é o primeiro arquivo do sistema sendo ele o inode 0, para gente extrair esse arquivo pelo windows voce pode usar um editor hexadecimal alguns permite ler o mft como tambem extrair o mesmo como por exemplo o winhex ou ate um dos melhores editores hex que eu conheço o hexeditor neo, outra forma é usando programas de forense como autopsy e alguns outros, no caso para extrair vou fazer pelo linux usando o icat da sleuthkit e para conveter o arquivo mft do formato bruto para um formato legivel vou usar o analyzeMFT, para começar vamos extrair com icat caso voce nao tenha o icat basta instalar ele com o comando
primeiro de tudo vamos listar as partições com o comando blkid para listar todas as partiçoes (existem outros comandos para listar os diretorios como o proprio mount sem argumento, df, lsblk, entre outros)
no meu caso meu windows 7 esta no /dev/sda2, entao vou usar o comando icat seguido da partição seguido do numero do inode que no caso é o 0 depois uso o simbolo de maior que seguido do arquivo para onde vou extrair
baixamos o analyzeMFT no github ( https://github.com/dkovar/analyzeMFT ),
na pasta do analyzeMFT que baixamos digitamos o comando para instalar ela sendo ele
agora podemos usar o analyzeMFT digitando o comando em qualquer diretorio que o terminal esteja, no caso voltamos para o diretorio onde extraimos o mft e nela digitamos analyzeMFT.py -f seguido do nome do arquivo do mft seguido de -o e o arquivo de saida
com o arquivo csv gerado podemos abrir ele no excel ou em algum outro programa que leia csv, nesse arquivo vai esta listados todos os arquivos daquela partição e varias informações sobre ela
bom galera os arquivos mft muito usados na forense \o
by kodo no kami
- Código:
sudo apt-get install sleuthkit
primeiro de tudo vamos listar as partições com o comando blkid para listar todas as partiçoes (existem outros comandos para listar os diretorios como o proprio mount sem argumento, df, lsblk, entre outros)
- Código:
sudo blkid
no meu caso meu windows 7 esta no /dev/sda2, entao vou usar o comando icat seguido da partição seguido do numero do inode que no caso é o 0 depois uso o simbolo de maior que seguido do arquivo para onde vou extrair
- Código:
sudo icat /dev/sda2 0 > kodomft
baixamos o analyzeMFT no github ( https://github.com/dkovar/analyzeMFT ),
- Código:
git clone https://github.com/dkovar/analyzeMFT.git
na pasta do analyzeMFT que baixamos digitamos o comando para instalar ela sendo ele
- Código:
sudo python setup install
agora podemos usar o analyzeMFT digitando o comando em qualquer diretorio que o terminal esteja, no caso voltamos para o diretorio onde extraimos o mft e nela digitamos analyzeMFT.py -f seguido do nome do arquivo do mft seguido de -o e o arquivo de saida
- Código:
analyzeMFT.py -f kodomft -o kodo.csv
com o arquivo csv gerado podemos abrir ele no excel ou em algum outro programa que leia csv, nesse arquivo vai esta listados todos os arquivos daquela partição e varias informações sobre ela
bom galera os arquivos mft muito usados na forense \o
by kodo no kami