MFT (Master File Table)
Was ist MFT (Master File Table)?
MFT (Master File Table)Die zentrale Metadatenstruktur von NTFS, die fuer jede Datei und jedes Verzeichnis einen 1024-Byte-Eintrag speichert und fast jede Windows-Dateisystem-Forensik traegt.
Die Master File Table ($MFT) ist das Herz des NTFS-Dateisystems; jede Datei, jedes Verzeichnis und sogar die MFT selbst wird durch einen Datensatz fester Groesse mit Attributen wie $STANDARD_INFORMATION, $FILE_NAME und $DATA dargestellt. Forensiker parsen die MFT, um Zeitstempel (die vier MACB-Zeiten in $SI und $FN), Dateigroessen, Parent-Child-Beziehungen, alternative Datenstroeme und den residenten Inhalt sehr kleiner Dateien zu rekonstruieren. Geloeschte Eintraege bleiben oft wiederherstellbar, bis sie ueberschrieben werden, was die MFT zu einer Schluesselquelle fuer Timeline-Analysen und Anti-Forensik-Erkennung macht. Werkzeuge wie MFTECmd, analyzeMFT oder Velociraptor normalisieren die Datensaetze fuer das Triage.
● Beispiele
- 01
Wiederherstellung des urspruenglichen Dateinamens und Erstellungszeitpunkts eines geloeschten Malware-Samples aus einem residenten $MFT-Eintrag.
- 02
Erkennen von Timestomping durch Vergleich der Zeitstempel in $STANDARD_INFORMATION und $FILE_NAME innerhalb desselben MFT-Eintrags.
● Häufige Fragen
Was ist MFT (Master File Table)?
Die zentrale Metadatenstruktur von NTFS, die fuer jede Datei und jedes Verzeichnis einen 1024-Byte-Eintrag speichert und fast jede Windows-Dateisystem-Forensik traegt. Es gehört zur Kategorie Forensik und Incident Response der Cybersicherheit.
Was bedeutet MFT (Master File Table)?
Die zentrale Metadatenstruktur von NTFS, die fuer jede Datei und jedes Verzeichnis einen 1024-Byte-Eintrag speichert und fast jede Windows-Dateisystem-Forensik traegt.
Wie funktioniert MFT (Master File Table)?
Die Master File Table ($MFT) ist das Herz des NTFS-Dateisystems; jede Datei, jedes Verzeichnis und sogar die MFT selbst wird durch einen Datensatz fester Groesse mit Attributen wie $STANDARD_INFORMATION, $FILE_NAME und $DATA dargestellt. Forensiker parsen die MFT, um Zeitstempel (die vier MACB-Zeiten in $SI und $FN), Dateigroessen, Parent-Child-Beziehungen, alternative Datenstroeme und den residenten Inhalt sehr kleiner Dateien zu rekonstruieren. Geloeschte Eintraege bleiben oft wiederherstellbar, bis sie ueberschrieben werden, was die MFT zu einer Schluesselquelle fuer Timeline-Analysen und Anti-Forensik-Erkennung macht. Werkzeuge wie MFTECmd, analyzeMFT oder Velociraptor normalisieren die Datensaetze fuer das Triage.
Wie schützt man sich gegen MFT (Master File Table)?
Schutzmaßnahmen gegen MFT (Master File Table) kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für MFT (Master File Table)?
Übliche alternative Bezeichnungen: $MFT, Master File Table.
● Verwandte Begriffe
- forensics-ir№ 001
$UsnJrnl ($J)
Das NTFS-Update-Sequence-Number-Aenderungsjournal protokolliert jede Dateisystemoperation und liefert Forensikern eine hochaufloesende Timeline von Erstellung, Aenderung und Loeschung.
- forensics-ir№ 1034
Shimcache (AppCompatCache)
Windows-Registry-Wert, der Metadaten zu Executables fuer Anwendungs-Kompatibilitaetspruefungen speichert; historisch als Ausfuehrungsnachweis genutzt, mit wichtigen Interpretationseinschraenkungen.
- forensics-ir№ 043
Amcache.hve
Windows-Registry-Hive, die detaillierte Metadaten (inkl. SHA-1) zu jedem auf dem System gelaufenen oder vorhandenen Executable speichert und damit auf modernem Windows starken Nachweis fuer Programmausfuehrung liefert.
- forensics-ir№ 850
Prefetch-Dateien
Windows-.pf-Dateien in C:\Windows\Prefetch, die den Programmstart aufzeichnen und einen belastbaren forensischen Beweis liefern, dass eine ausfuehrbare Datei auf einem System lief.
- forensics-ir№ 766
Order of Volatility
In RFC 3227 festgelegte Erfassungsreihenfolge, die Incident-Respondern vorschreibt, die fluechtigsten Beweise zuerst zu sichern, bevor sie ueberschrieben oder verloren gehen.
● Siehe auch
- № 1031Shellbags
- № 568Jump Lists
- № 787pagefile.sys
- № 474hiberfil.sys
- № 388EZ Tools von Eric Zimmerman