MFT (Master File Table)
Что такое MFT (Master File Table)?
MFT (Master File Table)Центральная структура метаданных NTFS, в которой для каждого файла и каталога тома хранится запись по 1024 байта; на ней строится почти вся файловая криминалистика Windows.
Master File Table ($MFT) — это сердце файловой системы NTFS; каждый файл, каталог и даже сама MFT представлены записями фиксированного размера с атрибутами $STANDARD_INFORMATION, $FILE_NAME, $DATA и другими. Криминалисты парсят MFT, чтобы восстановить временные метки (четыре времени MACB в $SI и $FN), размеры, родительские связи, альтернативные потоки данных и резидентное содержимое мелких файлов. Удалённые записи часто остаются восстановимыми до их перезаписи, что делает MFT ключевым источником для построения таймлайнов и выявления антифорензики. Инструменты MFTECmd, analyzeMFT и Velociraptor извлекают и нормализуют записи для триажа.
● Примеры
- 01
Восстановление исходного имени и времени создания удалённого образца ВПО из резидентной записи $MFT.
- 02
Выявление timestomping путём сравнения временных меток $STANDARD_INFORMATION и $FILE_NAME в одной записи MFT.
● Частые вопросы
Что такое MFT (Master File Table)?
Центральная структура метаданных NTFS, в которой для каждого файла и каталога тома хранится запись по 1024 байта; на ней строится почти вся файловая криминалистика Windows. Относится к категории Криминалистика и реагирование в кибербезопасности.
Что означает MFT (Master File Table)?
Центральная структура метаданных NTFS, в которой для каждого файла и каталога тома хранится запись по 1024 байта; на ней строится почти вся файловая криминалистика Windows.
Как защититься от MFT (Master File Table)?
Защита от MFT (Master File Table) обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия MFT (Master File Table)?
Распространённые альтернативные названия: $MFT, Главная таблица файлов.