MFT (Master File Table)
O que é MFT (Master File Table)?
MFT (Master File Table)Estrutura central de metadados do NTFS que armazena um registro de 1024 bytes por arquivo ou diretorio do volume e sustenta praticamente toda a forense do sistema de arquivos do Windows.
A Master File Table ($MFT) e o coracao do sistema de arquivos NTFS; cada arquivo, diretorio e a propria MFT sao representados por um registro de tamanho fixo com atributos como $STANDARD_INFORMATION, $FILE_NAME e $DATA. Analistas forenses parseiam a MFT para recuperar carimbos de tempo (os quatro tempos MACB em $SI e $FN), tamanhos, relacoes pai-filho, fluxos de dados alternativos e conteudo residente de arquivos pequenos. Entradas excluidas costumam permanecer recuperaveis ate serem reutilizadas, tornando a MFT essencial para linhas do tempo e deteccao de anti-forense. Ferramentas como MFTECmd, analyzeMFT e Velociraptor extraem e normalizam os registros para triagem.
● Exemplos
- 01
Recuperar o nome original e a data de criacao de um malware apagado a partir de um registro residente do $MFT.
- 02
Detectar timestomping comparando os timestamps de $STANDARD_INFORMATION e $FILE_NAME na mesma entrada MFT.
● Perguntas frequentes
O que é MFT (Master File Table)?
Estrutura central de metadados do NTFS que armazena um registro de 1024 bytes por arquivo ou diretorio do volume e sustenta praticamente toda a forense do sistema de arquivos do Windows. Pertence à categoria Forense e resposta da cibersegurança.
O que significa MFT (Master File Table)?
Estrutura central de metadados do NTFS que armazena um registro de 1024 bytes por arquivo ou diretorio do volume e sustenta praticamente toda a forense do sistema de arquivos do Windows.
Como funciona MFT (Master File Table)?
A Master File Table ($MFT) e o coracao do sistema de arquivos NTFS; cada arquivo, diretorio e a propria MFT sao representados por um registro de tamanho fixo com atributos como $STANDARD_INFORMATION, $FILE_NAME e $DATA. Analistas forenses parseiam a MFT para recuperar carimbos de tempo (os quatro tempos MACB em $SI e $FN), tamanhos, relacoes pai-filho, fluxos de dados alternativos e conteudo residente de arquivos pequenos. Entradas excluidas costumam permanecer recuperaveis ate serem reutilizadas, tornando a MFT essencial para linhas do tempo e deteccao de anti-forense. Ferramentas como MFTECmd, analyzeMFT e Velociraptor extraem e normalizam os registros para triagem.
Como se defender contra MFT (Master File Table)?
As defesas contra MFT (Master File Table) costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para MFT (Master File Table)?
Nomes alternativos comuns: $MFT, Tabela mestre de arquivos.
● Termos relacionados
- forensics-ir№ 001
$UsnJrnl ($J)
Journal de numeros de sequencia de atualizacao do NTFS que registra cada operacao do sistema de arquivos e oferece aos forenses uma linha do tempo de alta resolucao de criacoes, modificacoes e exclusoes.
- forensics-ir№ 1034
Shimcache (AppCompatCache)
Valor do registro do Windows que armazena metadados de executaveis para verificacoes de compatibilidade; historicamente usado como prova de execucao, com ressalvas importantes de interpretacao.
- forensics-ir№ 043
Amcache.hve
Colmeia do registro do Windows que armazena metadados detalhados (incluindo SHA-1) de cada executavel que rodou ou esteve presente no sistema, oferecendo forte evidencia de execucao em Windows moderno.
- forensics-ir№ 850
Arquivos Prefetch
Arquivos .pf do Windows em C:\Windows\Prefetch que registram a inicializacao de processos e fornecem prova forense robusta de que um executavel foi executado no sistema.
- forensics-ir№ 766
Ordem de volatilidade
Prioridade de aquisicao definida pela RFC 3227 que obriga os responders forenses a coletar primeiro a evidencia mais efemera, antes que seja sobrescrita ou perdida.
● Veja também
- № 1031Shellbags
- № 568Jump Lists
- № 787pagefile.sys
- № 474hiberfil.sys
- № 388EZ Tools de Eric Zimmerman