MFT (Master File Table)
Qu'est-ce que MFT (Master File Table) ?
MFT (Master File Table)Structure de metadonnees centrale de NTFS qui stocke un enregistrement de 1024 octets par fichier ou repertoire du volume et constitue la base de l'analyse forensique du systeme de fichiers Windows.
La Master File Table ($MFT) est le coeur du systeme de fichiers NTFS : chaque fichier, repertoire, et la MFT elle-meme, est represente par un enregistrement de taille fixe contenant des attributs tels que $STANDARD_INFORMATION, $FILE_NAME et $DATA. Les analystes forensiques parcourent la MFT pour recuperer les horodatages (les quatre temps MACB dans $SI et $FN), les tailles, les liens parent-enfant, les flux de donnees alternatifs et le contenu resident des petits fichiers. Les entrees supprimees restent souvent recuperables tant qu'elles ne sont pas reutilisees, ce qui en fait un element cle des frises chronologiques et de la detection de techniques anti-forensiques. MFTECmd, analyzeMFT ou Velociraptor extraient et normalisent ces enregistrements pour le triage.
● Exemples
- 01
Recuperer le nom et la date de creation d'origine d'un malware efface a partir d'un enregistrement $MFT resident.
- 02
Detecter un timestomping en comparant les horodatages de $STANDARD_INFORMATION et $FILE_NAME au sein de la meme entree MFT.
● Questions fréquentes
Qu'est-ce que MFT (Master File Table) ?
Structure de metadonnees centrale de NTFS qui stocke un enregistrement de 1024 octets par fichier ou repertoire du volume et constitue la base de l'analyse forensique du systeme de fichiers Windows. Cette notion relève de la catégorie Forensique et réponse en cybersécurité.
Que signifie MFT (Master File Table) ?
Structure de metadonnees centrale de NTFS qui stocke un enregistrement de 1024 octets par fichier ou repertoire du volume et constitue la base de l'analyse forensique du systeme de fichiers Windows.
Comment fonctionne MFT (Master File Table) ?
La Master File Table ($MFT) est le coeur du systeme de fichiers NTFS : chaque fichier, repertoire, et la MFT elle-meme, est represente par un enregistrement de taille fixe contenant des attributs tels que $STANDARD_INFORMATION, $FILE_NAME et $DATA. Les analystes forensiques parcourent la MFT pour recuperer les horodatages (les quatre temps MACB dans $SI et $FN), les tailles, les liens parent-enfant, les flux de donnees alternatifs et le contenu resident des petits fichiers. Les entrees supprimees restent souvent recuperables tant qu'elles ne sont pas reutilisees, ce qui en fait un element cle des frises chronologiques et de la detection de techniques anti-forensiques. MFTECmd, analyzeMFT ou Velociraptor extraient et normalisent ces enregistrements pour le triage.
Comment se défendre contre MFT (Master File Table) ?
Les défenses contre MFT (Master File Table) combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de MFT (Master File Table) ?
Noms alternatifs courants : $MFT, Table maitre des fichiers.
● Termes liés
- forensics-ir№ 001
$UsnJrnl ($J)
Journal des numeros de sequence de mise a jour de NTFS qui enregistre chaque operation du systeme de fichiers et fournit aux forensiques une frise chronologique a haute resolution.
- forensics-ir№ 1034
Shimcache (AppCompatCache)
Valeur du registre Windows qui trace des metadonnees d'executables pour les controles de compatibilite ; historiquement utilisee comme preuve d'execution, avec d'importantes nuances d'interpretation.
- forensics-ir№ 043
Amcache.hve
Ruche de registre Windows qui enregistre des metadonnees detaillees (dont un SHA-1) sur chaque executable ayant tourne ou ete present sur le systeme, et qui fournit une preuve d'execution solide sur Windows moderne.
- forensics-ir№ 850
Fichiers Prefetch
Fichiers .pf de Windows situes dans C:\Windows\Prefetch qui enregistrent le demarrage des processus et fournissent une preuve forte qu'un executable a tourne sur la machine.
- forensics-ir№ 766
Ordre de volatilite
Priorite d'acquisition definie par la RFC 3227 imposant aux intervenants forensiques de collecter d'abord les preuves les plus ephemeres avant qu'elles ne soient ecrasees ou perdues.
● Voir aussi
- № 1031Shellbags
- № 568Jump Lists
- № 787pagefile.sys
- № 474hiberfil.sys
- № 388EZ Tools d'Eric Zimmerman