Vilarejo PK2P
Bem-vindo ao fórum Vilarejo PK2P! O fórum oficial do canal Press Key to Play do Youtube!

Grupo para reunir as pessoas que acompanham os vídeos no canal Press Key to Play e discutir os assuntos abrangidos pelo Blog PK2P.


Você não está conectado. Conecte-se ou registre-se

[tutorial] enumerar todos os arquivos do windows MFT

Ver o tópico anterior Ver o tópico seguinte Ir em baixo  Mensagem [Página 1 de 1]

e ae galera nesse tutorial vou ensinar a enumerar todos os arquivos e diretorios do sistema windows pelo mft (master file tables), no caso o mft é um arquivo especial do windows sendo ele a tabela de entrada de arquivos das partições do tipo ntfs, é o arquivo mft que diz para o sistema que determinado arquivo esta dentro de algum diretorio especifico ou se ele é um arquivo ou diretorio e qual cluster inicia esse arquivo a data da criação e modificação e o tamanho entre outras informações muito relevante para forense, vamos dizer que o mft sabe onde voce esconde seus videos secretos kkk, quando um arquivo é apagado seu registro no mft pode prevalecer mesmo que o arquivo ja tenha sido sobrescrito e se o arquivo estiver integro basta mudar um byte certo no mft que o arquivo volta dos mortos ja que é o mft que diz para o sistema se o arquivo esta ou nao apagado, o arquivo mft é um arquivo não acessivel e ele é o primeiro arquivo do sistema sendo ele o inode 0, para gente extrair esse arquivo pelo windows voce pode usar um editor hexadecimal alguns permite ler o mft como tambem extrair o mesmo como por exemplo o winhex ou ate um dos melhores editores hex que eu conheço o hexeditor neo, outra forma é usando programas de forense como autopsy e alguns outros, no caso para extrair vou fazer pelo linux usando o icat da sleuthkit e para conveter o arquivo mft do formato bruto para um formato legivel vou usar o analyzeMFT, para começar vamos extrair com icat caso voce nao tenha o icat basta instalar ele com o comando

Código:
sudo apt-get install sleuthkit

primeiro de tudo vamos listar as partições com o comando blkid para listar todas as partiçoes (existem outros comandos para listar os diretorios como o proprio mount sem argumento, df, lsblk, entre outros)

Código:
sudo blkid



no meu caso meu windows 7 esta no /dev/sda2, entao vou usar o comando icat seguido da partição seguido do numero do inode que no caso é o 0 depois uso o simbolo de maior que seguido do arquivo para onde vou extrair

Código:
sudo icat /dev/sda2 0 > kodomft



baixamos o analyzeMFT no github ( https://github.com/dkovar/analyzeMFT ),

Código:
git clone https://github.com/dkovar/analyzeMFT.git



na pasta do analyzeMFT que baixamos digitamos o comando para instalar ela sendo ele

Código:
sudo python setup install



agora podemos usar o analyzeMFT digitando o comando em qualquer diretorio que o terminal esteja, no caso voltamos para o diretorio onde extraimos o mft e nela digitamos analyzeMFT.py -f seguido do nome do arquivo do mft seguido de -o e o arquivo de saida

Código:
analyzeMFT.py -f kodomft -o kodo.csv



com o arquivo csv gerado podemos abrir ele no excel ou em algum outro programa que leia csv, nesse arquivo vai esta listados todos os arquivos daquela partição e varias informações sobre ela



bom galera os arquivos mft muito usados na forense \o

by kodo no kami

Ver perfil do usuário https://eofclub.in/forum

Ver o tópico anterior Ver o tópico seguinte Voltar ao Topo  Mensagem [Página 1 de 1]

Permissão deste fórum:
Você não pode responder aos tópicos neste fórum