[tutorial] enumerar todos os arquivos do windows MFT

e ae galera nesse tutorial vou ensinar a enumerar todos os arquivos e diretorios do sistema windows pelo mft (master file tables), no caso o mft é um arquivo especial do windows sendo ele a tabela de entrada de arquivos das partições do tipo ntfs, é o arquivo mft que diz para o sistema que determinado arquivo esta dentro de algum diretorio especifico ou se ele é um arquivo ou diretorio e qual cluster inicia esse arquivo a data da criação e modificação e o tamanho entre outras informações muito relevante para forense, vamos dizer que o mft sabe onde voce esconde seus videos secretos kkk, quando um arquivo é apagado seu registro no mft pode prevalecer mesmo que o arquivo ja tenha sido sobrescrito e se o arquivo estiver integro basta mudar um byte certo no mft que o arquivo volta dos mortos ja que é o mft que diz para o sistema se o arquivo esta ou nao apagado, o arquivo mft é um arquivo não acessivel e ele é o primeiro arquivo do sistema sendo ele o inode 0, para gente extrair esse arquivo pelo windows voce pode usar um editor hexadecimal alguns permite ler o mft como tambem extrair o mesmo como por exemplo o winhex ou ate um dos melhores editores hex que eu conheço o hexeditor neo, outra forma é usando programas de forense como autopsy e alguns outros, no caso para extrair vou fazer pelo linux usando o icat da sleuthkit e para conveter o arquivo mft do formato bruto para um formato legivel vou usar o analyzeMFT, para começar vamos extrair com icat caso voce nao tenha o icat basta instalar ele com o comando

Código:

sudo apt-get install sleuthkit

primeiro de tudo vamos listar as partições com o comando blkid para listar todas as partiçoes (existem outros comandos para listar os diretorios como o proprio mount sem argumento, df, lsblk, entre outros)

Código:

sudo blkid

no meu caso meu windows 7 esta no /dev/sda2, entao vou usar o comando icat seguido da partição seguido do numero do inode que no caso é o 0 depois uso o simbolo de maior que seguido do arquivo para onde vou extrair

Código:

sudo icat /dev/sda2 0 > kodomft

baixamos o analyzeMFT no github ( https://github.com/dkovar/analyzeMFT ),

Código:

git clone https://github.com/dkovar/analyzeMFT.git

na pasta do analyzeMFT que baixamos digitamos o comando para instalar ela sendo ele

Código:

sudo python setup install

agora podemos usar o analyzeMFT digitando o comando em qualquer diretorio que o terminal esteja, no caso voltamos para o diretorio onde extraimos o mft e nela digitamos analyzeMFT.py -f seguido do nome do arquivo do mft seguido de -o e o arquivo de saida

Código:

analyzeMFT.py -f kodomft -o kodo.csv

com o arquivo csv gerado podemos abrir ele no excel ou em algum outro programa que leia csv, nesse arquivo vai esta listados todos os arquivos daquela partição e varias informações sobre ela



bom galera os arquivos mft muito usados na forense \o

by kodo no kami